我不确定我是否正确理解crossdomain.xml的用法。我是,使用Uploadify(2.1.4) - 一个基于闪存的文件上传器。我需要将文件从Domain A上传到Domain B。 Uploadify由Domain A托管和提供。要允许Uploadify Flash插件进行通信并上传到Domain B,我必须在crossdomain.xml上托管Domain B文件。因此,如果Uploadify在crossdomain.xml上找到Domain B文件中的Domain A文件列表中有Domain B,则会处理上传到etc/hosts的文件。到目前为止听起来都很好。
但是,我无法理解是什么阻止攻击者在他的计算机上安装本地网站上的克隆上传器,然后修改Domain A以使本地安装使用Domain B作为域名。现在,攻击者可以将文件上传到Domain A,假装为Domain B,Domain A将坦率地接受上传,因为crossdomain.xml内的白名单中列出了crossdomain.xml }。
{{1}}的目的是什么,如果它可以像上面那样容易被规避?我对此的理解可能完全错了。洞察力会有所帮助。
答案 0 :(得分:1)
crossdomain.xml无法替换登录系统。它只是告诉Flash:'嘿,你可以从我的服务器上读取(和使用)数据。
crossdomain.xml 真的易于绕过,因此不能将其视为网站的正确安全功能。
因此,总而言之,如果您想要安全,只需在“DomainB”上实施登录功能。