## JavaScript 安全细节 包含js客户端的html页面必须在跟服务器运行的同样的域名下提供服务。同源策略限制一个源上的一个文档或脚本如何和另一个源上的资源交互。同源策略作为一种手段来防止一些跨站点请求伪造攻击。 要跨域使用remoting，需要通过在 .htaccess 中定义头 X-Haxe-Remotinig 来启用CORS（cross-origin资源共享）。 ~~~ # Enable CORS Header set Access-Control-Allow-Origin "*" Header set Access-Control-Allow-Methods: "GET,POST,OPTIONS,DELETE,PUT" Header set Access-Control-Allow-Headers: X-Haxe-Remoting ~~~ 查看[同源策略](http://en.wikipedia.org/wiki/Same-origin_policy)了解更多这个话题的信息。 也要注意，这意味着页面不能被从文件系统直接提供服务： ~~~ "file:///C:/example/path/index.html" ~~~ ## Flash安全细节 当 Flash 访问一个不同域名的服务器，设置服务器上一个 crossdomain.xml 文件，使用 X-Haxe 头。 ~~~ <cross-domain-policy> <allow-access-from domain="*"/> <!-- or the appropriate domains --> <allow-http-request-headers-from domain="*" headers="X-Haxe*"/> </cross-domain-policy> ~~~ ## 不确保参数类型 关于在一个方法被远程调用时参数类型会被遵守，没有任何种类的保证。也就是说即使函数foo的参数类型化为 Int，客户端仍然可以在调用方法时使用字符串作为参数。这可以导致一些情况下的安全问题。当不确定时，在函数被调用使用 Std.is 方法检查参数类型。