[网站优化] [crossdomain.xml]配置不当-把网站[crossdomain.xml]配置风险去除

[复制链接]
查看102 | 回复0 | 2019-7-31 01:25:59 | 显示全部楼层 |阅读模式

马上注册,享用更多功能。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
打开程序目录下的crossdomain.xml文件,确保配置只对提供安全资源的可信域开放:
源代码如下:
<?xml version=”1.0″?><!DOCTYPE cross-domain-policy SYSTEM ”http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd”><cross-domain-policy><allow-access-from domain=”*” /></cross-domain-policy>
文件中的allow-access-from 实体设置为星号设置为允许任何域访问,
将其修改为
<allow-access-from domain=”*.chuanqi365.net” />,
*.chuanqi365.net 换为您自己的域名。
表示只允许本域访问,该问题就解决了。

淘宝crossdomain.xml修复如下图:

淘宝crossdomain.xml修复

淘宝crossdomain.xml修复
另一段修复方法
1.如果在根目录下:
同上找到crossdomain.xml文件修改 allow-access-from = * 改成自己的域名,同源策略大家都懂嘛。
2.如果在诸如webapp目录下非根目录下:
在flex中需要在初始化中应用
Security.loadPolicyFile("http:// localhost:8080/xxx /crossdomain.xml")
xxx为webapp的名字,保证能访问到crossdomain.xml文件

什么是crossdomain.xml文件用来干嘛的?
漏洞描述
网站根目录下的 crossdomain.xml 文件指明了远程 Flash 是否可以加载当前网站的资源(图片、网页内容、Flash等)。如果配置不当,可能导致遭受跨站请求伪造(CSRF)攻击。

修复方案
对于不需要从外部加载资源的网站,在 crossdomain.xml 文件中更改allow-access-from的domain属性为域名白名单。

回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies

本版积分规则