每个web应用程序都需要跨域策略文件吗？

Question

1)如果web应用程序不使用任何Flash内容，它是否需要跨域/无客户端策略文件？

2)如果web应用程序不承载跨域/客户端访问策略文件，它是否易受攻击？

Answer 1

简短答覆: 1.)不，不是第二项要求。是的，通过经过认证的客户端浏览器被操纵。

SilverlightFox是正确的，因为crossdomain.xml不是web应用程序的要求。根据Adobe的网站，crossdomain.xml是一种XML文件形式的策略，它“授予网络客户端(如Adobe或Acrobat )跨域处理数据的权限”1。

也就是说，它更适合于与客户端行为相关的保护，而不是服务器本身，但客户端安全性很重要，因为您不希望第三方的坏角色通过经过身份验证的客户端攻击您的网站。

同样，对于所有的via服务器部署，只在偶然的情况下使用闪光灯或通过其他类型的攻击将其上传到站点，这可能是一种组织策略，但从纯技术的角度来看，这肯定不是保护服务器本身的要求。

围绕crossdomain.xml问题的真正安全问题是，闪存客户端从恶意闪存服务器接收恶意命令时，可能会导致客户端使用客户端凭据向您的服务器发出请求。在这种情况下，如果您意外地有一个配置错误的crosssdomain.xml文件，如

这将允许在通过身份验证的客户端连接到您的站点时执行来自恶意服务器的命令，从而使攻击者能够通过该用户会话访问您的服务器。如果您有敏感数据，这将是一个问题。

为了防止这种情况发生，有一个正确配置的crossdomain.xml将这些操作限制在您的域或特定主机上，这将非常有帮助。

下面的网站将更详细地讨论这个问题，但作为对您问题的快速回答，是的，在安全方面有价值。

http://gursevkalra.blogspot.com/2013/08/bypassing-same-origin-policy-with-flash.html

跨域策略文件规范：

http://www.adobe.com/devnet-docs/acrobatetk/tools/AppSec/CrossDomain_PolicyFile_Specification.pdf

1引用Adobe关于设置crossdomain.xml策略文件的文章：

http://www.adobe.com/devnet/adobe-media-server/articles/cross-domain-xml-for-streaming.html

Answer 2

不，crossdomain.xml放宽了Flash的默认跨域策略。

缺少文件将强制执行默认限制。