我阅读了很多关于使用Flash,Javascript等进行跨站点脚本编写的内容,并且还发现了一些列表,其中包含一个允许从任何服务器访问的crossdomain.xml的网站。例如,flickr.com信任所有域。
有人可以解释一下为什么这似乎是安全的并且不会导致会话劫持等攻击?是因为那些crossdomain.xml仅在子域上有效,而攻击者无法获取会话密钥吗?
答案 0 :(得分:5)
使用crossdomain.xml文件can be very dangerous,可以打开严重攻击的网站。有两条经验法则可以防止跨域策略打开安全漏洞:
跨域策略文件的有效使用位于api.flickr.com等网站上,其中只有不使用cookie的服务。