## JavaScript 安全細節 包含js客戶端的html頁面必須在跟服務器運行的同樣的域名下提供服務。同源策略限制一個源上的一個文檔或腳本如何和另一個源上的資源交互。同源策略作為一種手段來防止一些跨站點請求偽造攻擊。 要跨域使用remoting，需要通過在 .htaccess 中定義頭 X-Haxe-Remotinig 來啟用CORS（cross-origin資源共享）。 ~~~ # Enable CORS Header set Access-Control-Allow-Origin "*" Header set Access-Control-Allow-Methods: "GET,POST,OPTIONS,DELETE,PUT" Header set Access-Control-Allow-Headers: X-Haxe-Remoting ~~~ 查看[同源策略](http://en.wikipedia.org/wiki/Same-origin_policy)了解更多這個話題的信息。 也要注意，這意味著頁面不能被從文件系統直接提供服務： ~~~ "file:///C:/example/path/index.html" ~~~ ## Flash安全細節 當 Flash 訪問一個不同域名的服務器，設置服務器上一個 crossdomain.xml 文件，使用 X-Haxe 頭。 ~~~ <cross-domain-policy> <allow-access-from domain="*"/> <!-- or the appropriate domains --> <allow-http-request-headers-from domain="*" headers="X-Haxe*"/> </cross-domain-policy> ~~~ ## 不確保參數類型 關于在一個方法被遠程調用時參數類型會被遵守，沒有任何種類的保證。也就是說即使函數foo的參數類型化為 Int，客戶端仍然可以在調用方法時使用字符串作為參數。這可以導致一些情況下的安全問題。當不確定時，在函數被調用使用 Std.is 方法檢查參數類型。