隱患名稱 | 不安全的crossdomain.xml策略 |
隱患類型 | 權限許可和訪問控制 |
問題描述 | 瀏覽器安全模型通常會阻止來自一個域的 Web 內容訪問來自另一個域的數據。這通常被稱為 “同源策略”。 URL 策略文件授予跨域讀取數據的權限。它們允許默認情況下不允許的操作。默認情況下,URL 策略文件位于目標服務器的根目錄中,名稱為 crossdomain.xml。當在文件中指定域時crossdomain.xml站點聲明它愿意允許該域中任何服務器的操作員獲取策略文件所在的服務器上的任何文檔。此網站上部署的 crossdomain.xml 文件將服務器打開到所有域(支持使用單個星號“*”作為純通配符)。 |
整改建議 | 文件中的allow-access-from 實體設置為星號設置為允許任何域訪問,將其修改為 <allow-access-from domain=”*.example.com” />,表示只允許本域訪問。 |
| 歡迎光臨 Discuz! 官方交流社區(qū) (http://www.9999xn.com/) | Powered by Discuz! X5.0 |