Bob*_*Bob 2 security crossdomain.xml session-hijacking
我阅读了很多关于使用Flash,Javascript等进行跨站点脚本编写的内容,并且还发现了一些列表,其中包含一个允许从任何服务器访问的crossdomain.xml的网站.例如,flickr.com信任所有域.
有人可以解释一下为什么这似乎是安全的并且不会导致会话劫持等攻击?是因为那些crossdomain.xml仅在子域上有效,而攻击者无法获取会话密钥吗?
Jam*_*ard 5
使用crossdomain.xml文件可能非常危险,并且可以打开网站直至严重的攻击.有两条经验法则可以防止跨域策略打开安全漏洞:
有效使用跨域策略文件位于api.flickr.com等网站上,其中只有不使用cookie的服务.
归档时间:
15 年,5 月 前
查看次数:
3552 次
最近记录: