我阅读了很多关于使用 Flash、Javascript 等进行跨站点脚本编写的内容,并且还发现了几个网站列表,这些网站具有允许从任何服务器访问的 crossdomain.xml。例如 flickr.com 信任所有域。
有人可以解释一下为什么这看起来很安全并且不会导致 session 劫持等攻击吗?是否因为这些 crossdomain.xml 仅在子域上有效,因此攻击者无法获取 session key ?
最佳答案
使用 crossdomain.xml 文件 can be very dangerous并且可以打开网站以遭受严重攻击。有两条经验法则可以防止跨域策略打开安全漏洞:
- 切勿将跨域策略文件放在 Intranet 站点上
- 切勿将跨域策略文件放置在使用 Cookie 的网站上
跨域策略文件的有效使用是在像 api.flickr.com 这样的网站上,那里只有不使用 cookie 的服务。
关于security - crossdomain.xml 和安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3707484/