允许任何域的Flash文件访问资源

漏洞描述

crossdomain.xml 是一个策略文件，定义 Web 页面资源是否能从不同域的 Flash 应用程序进行访问。当 Web 站点的 crossdomain.xml 策略太宽容（例如，允许任何域的 Flash 文件访问站点资源）时，可能会导致“跨站点伪造请求”或“跨站点跟踪”（“跨站点脚本编制”的变体）之类的攻击。

修复建议

确保crossdomain.xml中domain的值为特定的域名，例如：allow-access-from domain=”*.test.com”。

flash跨域请求

以www.qq.com为例，当浏览器在任意其他域的页面里加载了flash之后，如果对www.qq.com发起访问请求，flash会先检查www.qq.com上此策略文件是否存在，如果文件存在，则检查发起请求的域是否在许可范围之内。自flash 10以后，如有跨域访问需求，必须在目标域的根目录下放置crossdomain.xml文件，且该根目录下的配置文件称为“主策略文件”。若不存在主策略文件，则该域将禁止任何第三方域的flash跨域请求。主策略文件对全站的跨域访问起控制作用。