我不确定我是否理解 crossdomain.xml
的用法正确。我是,使用 Uploadify (2.1.4) — 基于 Flash 的文件上传器。我需要从 Domain A
上传文件至 Domain B
. Uploadify 由 Domain A
托管和提供服务.允许 Uploadify flash 插件通信并上传到 Domain B
,我必须主持一个crossdomain.xml
文件在 Domain B
.因此,如果 Uploadify 发现 crossdomain.xml
文件在 Domain B
有 Domain A
在它的白名单中,然后文件上传到Domain B
将被处理。到目前为止,一切听起来都不错。
但是,我不明白是什么阻止了攻击者在他的计算机上安装的本地网站上构建克隆上传器并随后修改 etc/hosts
使本地安装使用 Domain A
作为域名。现在,攻击者可以将文件上传到 Domain B
,冒充Domain A
和 Domain B
坦率地接受上传,因为它有 Domain A
列入crossdomain.xml
内的白名单.crossdomain.xml
的目的是什么? ,是否可以像上面一样轻松绕过?我对此的理解可能完全错误。洞察力会有所帮助。
最佳答案
crossdomain.xml
不能代替登录系统。它只是告诉 Flash:“嘿,你可以从我的服务器读取(和使用)数据”。
crossdomain.xml 是 真的容易绕过,因此不能将其视为网站的适当安全功能。
因此,总而言之,如果您想确保安全,只需在您的“DomainB”上实现登录功能。
关于flash - 攻击者如何绕过 crossdomain.xml,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11035705/