2

私は、Flash や Javascript などを使用したクロスサイト スクリプティングについて多くのことを読み、任意のサーバーからのアクセスを許可する crossdomain.xml を持つ Web サイトのリストもいくつか見つけました。たとえば、flickr.com はすべてのドメインを信頼します。

これが安全だと思われ、セッションハイジャックのような攻撃につながらない理由を誰か説明してもらえますか? これらの crossdomain.xml はサブドメインでのみ有効であるため、攻撃者がセッション キーを取得することはできませんか?

4

1 に答える 1

5

crossdomain.xmlファイルを使用すると、非常に危険であり、深刻な攻撃にさらされる可能性があります。クロスドメインポリシーがセキュリティホールを開くのを防ぐための2つのルールがあります。

  1. イントラネットサイトにクロスドメインポリシーファイルを配置しないでください
  2. Cookieを使用するサイトにクロスドメインポリシーファイルを配置しないでください

クロスドメインポリシーファイルの有効な使用法は、Cookieを使用しないサービスのみが存在するapi.flickr.comのようなサイトです。

于 2010-09-14T14:13:32.137 に答える