当前位置：文江博客话题详情

crossdomain.xml 和安全问题

发布于 2024-09-18 16:06:12 字数 198 浏览 6 评论 0原文

我阅读了很多有关使用 Flash、Javascript 等进行跨站点脚本编写的内容，还发现了几个包含允许从任何服务器访问的 crossdomain.xml 的网站列表。例如 flickr.com 信任所有域。

有人可以解释一下为什么这看起来很安全并且不会导致会话劫持等攻击吗？是否因为这些 crossdomain.xml 仅在子域上有效，因此攻击者无法获取会话密钥？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

一抹微笑 2024-09-25 16:06:12

使用 crossdomain.xml 文件可能非常危险，并且可能使网站遭受严重攻击。有两条经验法则可防止跨域策略打开安全漏洞：

切勿将跨域策略文件放在 Intranet 站点上
切勿将跨域策略文件放在使用 cookie 的站点上

跨域策略文件的有效使用在于站点上例如 api.flickr.com，其中只有不使用 cookie 的服务。

回复收藏 0 原文

~没有更多了~

关于作者

篱下浅笙歌

暂无简介

0 文章

0 评论

23 人气

关注发私信

留蓝

文章 0 评论 0

关注

18790681156

文章 0 评论 0

关注

zach7772

文章 0 评论 0

关注

Wini

文章 0 评论 0

关注

ayeshaaroy

文章 0 评论 0

关注

初雪

文章 0 评论 0

友情链接

文江博客

crossdomain.xml 和安全问题

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（1）

关于作者

相关话题

热门标签

推荐作者

留蓝

18790681156

zach7772

Wini

ayeshaaroy

初雪

友情链接

crossdomain.xml 和安全问题

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（1）

关于作者

相关话题

热门标签

推荐作者

留蓝

18790681156

zach7772

Wini

ayeshaaroy

初雪

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。