是crossdomain.xml中最具限制性的策略，相當於根本沒有？

Question

我可以在我的服務器的日誌中看到幾個HTTP 404 爲[MYDOMAIN]的/crossdomain.xml

我在想，如果要添加，因此該文件並配置它擁有最嚴格的政策。這就是：（來自HTML 5樣板拍攝）

<?xml version="1.0"?> 

<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd"> 
-<cross-domain-policy> 
<!-- Read this: www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html --> 

<!-- Most restrictive policy: --> 
<site-control permitted-cross-domain-policies="none"/> 
<!-- Least restrictive policy: --> 

<!-- <site-control permitted-cross-domain-policies="all"/> <allow-access-from domain="*" to-ports="*" secure="false"/> <allow-http-request-headers-from domain="*" headers="*" secure="false"/> --> 

<!-- If you host a crossdomain.xml file with allow-access-from domain="*" and don’t understand all of the points described here, you probably have a nasty security vulnerability. ~ simon willison --> 
</cross-domain-policy> 

難道是相當於沒有呢？

我發現HTTP 404有關跨域誤導的錯誤，因此我想擺脫它們，所以我可以更有效地確定真正的錯誤。

Answer 1

不完全。該規範規定：

換句話說，根跨域策略不包含 允許存取指令從或HTTP標頭。 「無」的元策略可防止使用任何其他可能存在的策略，即使開發人員包含它們也是如此。 允許訪問來源或根策略文件中帶有「無」的策略文件的根跨域 中的標題策略是無效的。如果一個無效的 策略同時具有「無」設置和其他指令，則「無」優先級爲 ，並且該網站上不允許任何權限。

所以，我覺得最嚴格的技術是使用「無」。