security - crossdomain.xml 和安全问题

标签 security crossdomain.xml session-hijacking

我阅读了很多关于使用 Flash、Javascript 等进行跨站点脚本编写的内容,并且还发现了几个网站列表,这些网站具有允许从任何服务器访问的 crossdomain.xml。例如 flickr.com 信任所有域。

有人可以解释一下为什么这看起来很安全并且不会导致 session 劫持等攻击吗?是否因为这些 crossdomain.xml 仅在子域上有效,因此攻击者无法获取 session key ?

最佳答案

使用 crossdomain.xml 文件 can be very dangerous并且可以打开网站以遭受严重攻击。有两条经验法则可以防止跨域策略打开安全漏洞:

  1. 切勿将跨域策略文件放在 Intranet 站点上
  2. 切勿将跨域策略文件放置在使用 Cookie 的网站上

跨域策略文件的有效使用是在像 api.flickr.com 这样的网站上,那里只有不使用 cookie 的服务。

关于security - crossdomain.xml 和安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3707484/

上一篇:c# - AnkhSVN for Subversion 不显示源代码控制相关图标

下一篇:.htaccess - 非 www 到 www htaccess 重定向

相关文章:

java - 创建帐户时,如何将密码哈希安全地存储在内存中?

security - 在 Groovy 动态 SQL 中检测 SQL 注入(inject)

apache-flex - 从 AmazonS3 加载 swf - 跨域策略

tomcat - 登录用户的 session 在 tomcat 上的 grails spring security 中混淆

PHP session 安全问题

java - 只知道我当前 JSESSIONID 的人可以冒充/劫持我的 session (Tomcat 7/Glassfish 3.2))吗?

security - 使用MD5将密码安全地从前端发送到后端

java - 如何在 Tomcat 上使用 MongoDB 实现 Java EE 容器安全

web-services - Flex 无法识别 crossdomain.xml 策略文件

java - 如何让 Java Applet 使用客户端证书和 session cookie 进行跨域请求?

©2024 IT工具网  联系我们