一,crossdomain.xml配置不当导致csrf等漏洞
我们知道,网站根目录下的控制flash访问的授权文件crossdomain.xml指明了远程flash是否允许加载当前网站的资源(如图片,网页内容,flash,cgi等),若配置不当,可能导致未授权的flash可以加载该站点的相关资源,从而可能导致CSRF攻击。
检查的方法很简单,直接访问http://your.web,site/crossdomain.xml,查看里面的配置信息,一般如下:
<?xml version="1.0"?>
<cross-domain-policy>
<allowe-access-from domain="*" />
</cross-domain-policy>
解决办法如下:
1,对不允许外部加载资源的网站,可以把该文件直接删除,即不授权;
2,对允许指定域名访问的,更改allow-access-from的domain属性为域名白名单,这里需要按照最小化的方式进行设置,举例如下,
我们知道,网站根目录下的控制flash访问的授权文件crossdomain.xml指明了远程flash是否允许加载当前网站的资源(如图片,网页内容,flash,cgi等),若配置不当,可能导致未授权的flash可以加载该站点的相关资源,从而可能导致CSRF攻击。
检查的方法很简单,直接访问http://your.web,site/crossdomain.xml,查看里面的配置信息,一般如下:
<?xml version="1.0"?>
<cross-domain-policy>
<allowe-access-from domain="*" />
</cross-domain-policy>
解决办法如下:
1,对不允许外部加载资源的网站,可以把该文件直接删除,即不授权;
2,对允许指定域名访问的,更改allow-access-from的domain属性为域名白名单,这里需要按照最小化的方式进行设置,举例如下,