crossdomain.xml和安全问题

Question

我读了很多关于跨站脚本的内容，比如Flash，Javascript等等，我还发现了一些网站的列表，这些网站都有一个允许从任何服务器访问的crossdomain.xml。例如，flickr.com信任所有域。

有人能给我解释一下为什么这看起来是安全的，而不会导致会话劫持之类的攻击吗？是不是因为这些crossdomain.xml只在子域上有效，所以攻击者不可能获得会话密钥？

Answer 1

使用can be very dangerous和crossdomain.xml文件可以打开网站进行严重攻击。有两条经验法则可以防止跨域策略打开安全漏洞：

1. 从不将跨域策略文件放在intranet站点上
2. 从不将跨域策略文件放在使用cookies

的站点上

跨域策略文件的有效使用是在像api.flickr.com这样的站点上，其中只有不使用cookies的服务。