隱患名稱 | 不安全的crossdomain.xml策略 |
隱患類型 | 權(quán)限許可和訪問控制 |
問題描述 | 瀏覽器安全模型通常會阻止來自一個域的 Web 內(nèi)容訪問來自另一個域的數(shù)據(jù)。這通常被稱為 “同源策略”。 URL 策略文件授予跨域讀取數(shù)據(jù)的權(quán)限。它們允許默認(rèn)情況下不允許的操作。默認(rèn)情況下,URL 策略文件位于目標(biāo)服務(wù)器的根目錄中,名稱為 crossdomain.xml。當(dāng)在文件中指定域時crossdomain.xml站點(diǎn)聲明它愿意允許該域中任何服務(wù)器的操作員獲取策略文件所在的服務(wù)器上的任何文檔。此網(wǎng)站上部署的 crossdomain.xml 文件將服務(wù)器打開到所有域(支持使用單個星號“*”作為純通配符)。 |
整改建議 | 文件中的allow-access-from 實(shí)體設(shè)置為星號設(shè)置為允許任何域訪問,將其修改為 <allow-access-from domain=”*.example.com” />,表示只允許本域訪問。 |
| 歡迎光臨 Discuz! 官方交流社區(qū) (http://www.9999xn.com/) | Powered by Discuz! W1.0 |