我不确定我是否理解crossdomain.xml正确的用法。我正在使用 Uploadify (2.1.4) — 基于 Flash 的文件上传器。我需要将文件Domain A从Domain B. Uploadify 由Domain A. 要允许 Uploadify flash 插件通信和上传到Domain B,我必须crossdomain.xml在Domain B. 因此,如果 Uploadify 在其白名单中找到一个crossdomain.xml文件Domain B,则将处理Domain A上传到的文件Domain B。到目前为止,一切听起来都很好。
但是,我不明白是什么阻止了攻击者在他的计算机上安装的本地网站上构建克隆上传器,然后修改它etc/hosts以使本地安装Domain A用作域名。现在,攻击者可以将文件上传到Domain B,假装Domain A并Domain B坦率地接受上传,因为它已Domain A在 内的白名单中列出crossdomain.xml。
的目的是什么crossdomain.xml,如果可以像上面那样轻松绕过它?我对此的理解可能完全错误。洞察力会有所帮助。