本文探讨了Flash安全性的两个关键问题:crossdomain.xml配置不当引发的CSRF漏洞和Flash标签配置错误导致的XSS漏洞。提供了解决方案,包括设置crossdomain.xml的白名单策略和调整Flash标签的allowScriptAccess与allowNetworking属性,以增强网站安全性。
一,crossdomain.xml配置不当导致csrf等漏洞
我们知道,网站根目录下的控制flash访问的授权文件crossdomain.xml指明了远程flash是否允许加载当前网站的资源(如图片,网页内容,flash,cgi等),若配置不当,可能导致未授权的flash可以加载该站点的相关资源,从而可能导致CSRF攻击。
检查的方法很简单,直接访问http://your.web,site/crossdomain.xml,查看里面的配置信息,一般如下:
<?xml version="1.0"?>
<cross-domain-policy>
<allowe-access-from domain="*" />
</cross-domain-policy>
解决办法如下:
1,对不允许外部加载资源的网站,可以把该文件直接删除,即不授权;
2,对允许指定域名访问的,更改allow-access-from的domain属性为域名白名单,这里需要按照最小化的方式进行设置,举例如下,
我们知道,网站根目录下的控制flash访问的授权文件crossdomain.xml指明了远程flash是否允许加载当前网站的资源(如图片,网页内容,flash,cgi等),若配置不当,可能导致未授权的flash可以加载该站点的相关资源,从而可能导致CSRF攻击。
检查的方法很简单,直接访问http://your.web,site/crossdomain.xml,查看里面的配置信息,一般如下:
<?xml version="1.0"?>
<cross-domain-policy>
<allowe-access-from domain="*" />
</cross-domain-policy>
解决办法如下:
1,对不允许外部加载资源的网站,可以把该文件直接删除,即不授权;
2,对允许指定域名访问的,更改allow-access-from的domain属性为域名白名单,这里需要按照最小化的方式进行设置,举例如下,
最低0.47元/天 解锁文章
扫一扫
1233
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
