隱患名稱 | 不安全的crossdomain.xml策略 |
隱患類型 | 權(quán)限許可和訪問(wèn)控制 |
問(wèn)題描述 | 瀏覽器安全模型通常會(huì)阻止來(lái)自一個(gè)域的 Web 內(nèi)容訪問(wèn)來(lái)自另一個(gè)域的數(shù)據(jù)。這通常被稱為 “同源策略”。 URL 策略文件授予跨域讀取數(shù)據(jù)的權(quán)限。它們?cè)试S默認(rèn)情況下不允許的操作。默認(rèn)情況下,URL 策略文件位于目標(biāo)服務(wù)器的根目錄中,名稱為 crossdomain.xml。當(dāng)在文件中指定域時(shí)crossdomain.xml站點(diǎn)聲明它愿意允許該域中任何服務(wù)器的操作員獲取策略文件所在的服務(wù)器上的任何文檔。此網(wǎng)站上部署的 crossdomain.xml 文件將服務(wù)器打開(kāi)到所有域(支持使用單個(gè)星號(hào)“*”作為純通配符)。 |
整改建議 | 文件中的allow-access-from 實(shí)體設(shè)置為星號(hào)設(shè)置為允許任何域訪問(wèn),將其修改為 <allow-access-from domain=”*.example.com” />,表示只允許本域訪問(wèn)。 |
| 歡迎光臨 Discuz! 官方交流社區(qū) (http://m.sdtechgong.com.cn/) | Powered by Discuz! X5.0 |