我不确定我是否正确理解crossdomain.xml的用法。我正在使用Uploadify(2.1.4) - 基于flash的文件上传器。我需要将文件从Domain A上传到Domain B。Uploadify 由 Domain A 托管和提供服务。要允许 Uploadify Flash 插件通信并上传到Domain B,我必须在 Domain B 上托管一个crossdomain.xml文件。因此,如果 Uploadify 在白名单中有Domain A Domain B上找到crossdomain.xml文件,则将处理上传到Domain B的文件。直到现在,一切听起来都不错。
但是,我不明白是什么阻止了攻击者在其计算机中的本地网站安装上构建克隆上传器,并随后修改etc/hosts以使本地安装使用Domain A作为域名。现在,攻击者可以将文件上传到Domain B,假装Domain A,Domain B会坦率地接受上传,因为它Domain A crossdomain.xml内列入白名单。
crossdomain.xml的目的是什么,如果它可以像上面一样容易地绕过?我对此的理解可能完全错误。见解会有所帮助。
crossdomain.xml不能取代登录系统。它只是告诉Flash:"嘿,你可以从我的服务器读取(和使用)数据"。
跨域.xml真的很容易绕过,因此不能将其视为网站的适当安全功能。
因此,总而言之,如果您想确保安全,只需在"域B"上实现登录功能即可。