Какова цель защиты flashdomain.xml от Flash?

Question

Если вы хотите использовать контент на другом сервере, на этом сервере должен быть размещен файл crossdomain.xml, разрешающий доступ. Если этого файла нет, Flash не позволит вам получить к нему доступ. Учитывая, что достаточно просто написать прокси (скажем, скрипт php, который скручивает внешние URL), какова цель этого ограничения? Кажется, что контент все еще на 100% доступен для внешних людей, но есть только один дополнительный обруч, чтобы перейти через. Чего мне не хватает?

Answer 1

Если бы Flash только что отправил запрос без предварительного разрешения, можно было бы сделать то, что называется Подделка межсайтового запроса .

Это в основном означает, что, поскольку запрос поступает с вашего компьютера, он будет содержать ваших файлов cookie. Так что, зайдя на известный URL, скажем, Gmail, я мог бы притвориться вами. И поскольку все это хорошо спрятано в .swf, вы никогда не узнаете, что случилось.

Однако, если запрос проходит через прокси на другом сервере (обычно на том же сервере, на котором размещен swf), ни один из этих файлов cookie не будет присутствовать, и все будет хорошо и безопасно.

Answer 2

crossdomain.xml был введен для предотвращения атак, таких как Подделка межсайтовых запросов , а также Атака повторного связывания DNS .