Question

Я много читал о межсайтовом скриптинге с помощью Flash, Javascript и т. Д., А также нашел несколько списков с веб-сайтами, которые имеют crossdomain.xml, который разрешает доступ с любого сервера. Например, flickr.com доверяет всем доменам.

Может кто-нибудь объяснить мне, почему это кажется безопасным и не приводит к таким атакам, как перехват сеансов? Это потому, что эти crossdomain.xml действительны только для поддоменов, что не позволяет злоумышленнику получить ключ сеанса?

James Ward · Answer 1 · 14 сентября 2010

Использование файлов crossdomain.xml может быть очень опасным и может открывать сайты до серьезных атак.Существует два практических правила, которые не позволяют междоменным политикам открывать дыры в безопасности:

Никогда не размещайте файл междоменной политики на сайте интрасети
Никогда не размещайте файл междоменной политики на сайтеиспользующий файлы cookie

Правильное использование файла политики междоменного доступа осуществляется на сайте, подобном api.flickr.com, где есть только службы, которые не используют файлы cookie.

crossdomain.xml и проблемы безопасности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

crossdomain.xml и проблемы безопасности

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы