我阅读了很多关于使用 Flash、Javascript 等进行跨站点脚本的内容,还发现了几个包含允许从任何服务器访问的 crossdomain.xml 的网站列表。例如 flickr.com 信任所有域。
有人可以解释一下为什么这似乎是安全的并且不会导致像会话劫持这样的攻击吗?是不是因为这些 crossdomain.xml 仅在子域上有效,攻击者无法获取会话密钥?
问问题
3645 次
1 回答
5
使用 crossdomain.xml 文件可能非常危险,并且会使网站受到严重攻击。有两个经验法则可以防止跨域策略打开安全漏洞:
- 切勿将跨域策略文件放在 Intranet 站点上
- 切勿将跨域策略文件放在使用 cookie 的站点上
跨域策略文件的有效使用是在像 api.flickr.com 这样的站点上,其中只有不使用 cookie 的服务。
于 2010-09-14T14:13:32.137 回答