crossdomain.xml文件-它坏吗？

Question

我的站点的文档根目录中有crossdomain.xml，内容如下：

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="*.doubleclick.net" />
</cross-domain-policy>

这是因为我希望adsense广告商使用丰富的媒体广告来查看我的网站内容，以便加载正确的广告。

然后，我在detectify.com上查看我的站点，并向我发出了关于该文件的警告：

通配符crossdomain.xml策略这意味着什么？crossdomain.xml策略文件允许托管在子域中的SWF文件与域进行交互。会发生什么？如果攻击者能够在任何子域上载SWF或以其他方式获得控制，则攻击者可以绕过域中的CSRF保护，并视应用程序读取敏感数据而定。

我的问题是我到底该怎么做？

黑客会做一些严重的损害，即使我的网站不包含冲击波闪光灯文件(除了那些广告商在广告单位)？如果是的话，我应该把它移除。但是，如果我的收入大幅度下降，因为广告没有得到适当的服务，因为一个缺失的crossdomain.xml文件，那么我觉得我需要文件到位。

我在这里该怎么办？

Answer 1

这意味着有人可以更容易地创建恶意广告。允许跨域广告允许允许的网站(广告)上的任何闪存内容在您的网站上提交任何形式或从当前登录用户读取任何数据。视您的网站而定，这将有助于：

• 窃取用户数据
• 未经授权使用管理员功能
• 自动垃圾邮件注册
• 在您的站点上在用户之间传播的蠕虫-like病毒
• 在用户不知情的情况下为用户创建伪造(或垃圾邮件)内容。