문제

애플리케이션 서버의 루트에 crossdomain.xml을 추가하는 데 보안 문제가 있는지 궁금합니다.서버의 다른 부분에 추가할 수 있으며 서버에 이 파일이 필요하지 않은 해결 방법을 알고 있습니까?

감사합니다 Damien

도움이 되었습니까?

해결책

crossdomain.xml을 추가하면 주요 보안 문제는 플래시 애플리케이션이 이제 서버에 연결할 수 있다는 것입니다.따라서 누군가 귀하의 사이트에 로그인한 다음 악성 플래시 앱을 사용하여 다른 웹사이트를 탐색하는 경우 해당 플래시 앱이 귀하의 사이트에 다시 연결될 수 있습니다.브라우저에 있으므로 쿠키는 플래시 앱에 공유됩니다.이를 통해 플래시 앱은 사용자가 알지 못하는 사이에 웹사이트에서 수행하는 모든 작업을 수행하기 위해 사용자의 세션을 하이재킹할 수 있습니다.

Flex 앱이 동일한 서버에서 제공되는 경우 crossdomain.xml이 필요하지 않습니다.

사이트의 하위 디렉터리에 넣고 System.security.loadSecurityPolicy()를 사용할 수 있습니다.

http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html

그러면 응용 프로그램은 디렉터리 구조의 해당 트리로 제한됩니다.

다른 팁

크로스도메인 파일에 대한 해결 방법은 없으며 크로스도메인 데이터 액세스 또는 크로스도메인 스크립팅을 지원해야 합니다.크로스 도메인 요청이 있는 경우 Flash는 도메인 루트에서 crossdomain.xml 파일을 찾습니다.예를 들어 다음에서 XML 파일을 요청하는 경우:

http://mysubdomain.mydomain.com/fu/bar/

Flash는 다음 위치에 crossdomain.xml 파일이 있는지 확인합니다.

http://mysubdomin.mydomain.com/crossdomain.xml

crossdomain.xml 파일을 다른 위치에 배치할 수 있습니다.그러나 다른 위치에서 crossdomain.xml 파일을 로드해야 하는 경우 다음을 통해 수행해야 합니다. 보안.로드정책파일 .이 크로스도메인의 위치는 귀하의 보안 액세스에 영향을 미친다는 점을 명심하십시오.Flash는 크로스도메인과 해당 하위 폴더가 포함된 폴더에만 액세스 권한을 부여합니다.

다음 내용을 읽어보실 수도 있습니다. Flash Player 10의 보안 변경 사항.

애플리케이션에 대한 가상 호스트를 구성할 수 있습니다.이런 방식으로 crossdomain.xml 파일은 애플리케이션의 루트에 있을 수 있지만 반드시 서버의 루트에 있을 필요는 없습니다.

예.크로스도메인 정책 파일에 주의하세요.
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/

내 두 가지 일반적인 경험 법칙은 다음과 같습니다.

  • 쿠키를 사용하는 서버에 크로스도메인 정책 파일을 넣지 마십시오.
  • 내부 서버에 크로스도메인 정책 파일을 넣지 마십시오.

crossdomain.xml은 Flash 런타임에 의미가 있는 파일일 뿐입니다.HTTP 요청이 이를 확인하도록 제한할 수 있습니다.웹 서버(예:Apache) "루트" 디렉터리에서 이에 대한 읽기 액세스만 허용하는 구성 제어입니다(이전 답변 참조).

요청 등의 다른 헤더를 기준으로 필터링할 수 있습니다.

건배

라이센스 : CC-BY-SA ~와 함께 속성
제휴하지 않습니다 StackOverflow
scroll top