2
我讀了很多關於使用Flash,Javascript等的跨站點腳本,還發現了幾個列表,其中包含具有允許從任何服務器訪問的crossdomain.xml的網站。例如flickr.com信任所有域。crossdomain.xml和安全問題
有人可以解釋爲什麼這似乎是安全的,不會導致像會話劫持這樣的攻擊嗎?是否因爲這些crossdomain.xml僅在子域上有效,不會使攻擊者獲得會話密鑰成爲可能?
A
回答
5
使用crossdomain.xml文件can be very dangerous並可以打開網站到嚴重的攻擊。有兩條經驗規則,以防止從開放的安全漏洞跨域策略:
- 不要把一個跨域策略文件在Intranet站點
- 不要把一個跨域策略文件上使用cookie
跨域策略文件的有效使用位於api.flickr.com等網站上,其中只有不使用cookie的服務。
相關問題
- 1. crossdomain.xml的問題
- 2. Flash Crossdomain.xml問題
- 3. Angularjs和安全問題
- 4. Loadrunner和安全問題
- 5. PHP和AJAX安全問題
- 6. Flash安全沙箱:crossDomain.xml不起作用
- 7. 安全問題
- 8. 安全問題?
- 9. 安全問題
- 10. Symfony 1.4安裝和安全問題
- 11. Flash安全錯誤使用crossdomain.xml訪問URL
- 12. Webservice安全問題
- 13. Xamppp安全問題
- 14. PHPSESSID安全問題?
- 15. WCF安全問題
- 16. Symfony2安全問題
- 17. XSS安全問題
- 18. FCKEDITOR安全問題
- 19. JavaScript安全問題?
- 20. PHP安全問題
- 21. JavaScript安全問題
- 22. SHA256安全問題
- 23. JSON安全問題?
- 24. Magento安全問題
- 25. WebHttpBinding安全問題
- 26. AJAX安全問題
- 27. Maven安全問題
- 28. Ajax安全問題
- 29. Android安全問題
- 30. WS安全問題
+1關鍵在於api.flickr.com不會爲其服務使用cookie,因此攻擊者網站不會濫用用戶憑據。 – 2010-09-14 14:24:40
謝謝你的回答,你幫了我很多。 :-) – Bob 2010-09-14 16:15:41