самая строгая политика в файле crossdomain.xml эквивалентна отсутствию вообще?

Question

Я вижу в журналах моего сервера несколько http 404 для [mydomain] /crossdomain.xml

Мне было интересно, стоит ли добавлять этот файл и настраивать его для наиболее строгой политики. То есть: (взято из шаблона HTML 5)

<?xml version="1.0"?>

<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
-<cross-domain-policy> 
<!-- Read this: www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html -->

<!-- Most restrictive policy: -->
 <site-control permitted-cross-domain-policies="none"/> 
<!-- Least restrictive policy: -->

<!-- <site-control permitted-cross-domain-policies="all"/> <allow-access-from domain="*" to-ports="*" secure="false"/> <allow-http-request-headers-from domain="*" headers="*" secure="false"/> -->

<!-- If you host a crossdomain.xml file with allow-access-from domain="*" and don’t understand all of the points described here, you probably have a nasty security vulnerability. ~ simon willison -->
 </cross-domain-policy>

Это будет эквивалентно отсутствию вообще?

Я нахожу ошибки http 404, связанные с междоменными ошибками, и, следовательно, я хочу избавиться от них, чтобы более эффективно идентифицировать реальные.

Answer 1

Не совсем. Спецификация гласит:

Другими словами, корневая междоменная политика не содержит директивы allow-access-from или заголовки HTTP. Мета-политика «None» запрещает использование любых других политик, которые могут присутствовать даже если разработчик включил их. Недопустимо иметь allow-access-from или политика заголовка в корневом междоменном домене файл политики с мета-политикой «нет». В случаях, когда инвалид политика имеет как параметр «none», так и другие директивы, «none» занимает приоритет и никаких разрешений на сайте не разрешено.

Итак, я думаю, что самым ограничительным методом является использование "none".