跨域策略文件crossdomain.xml文件

最新推荐文章于 2024-05-18 00:10:50 发布
最新推荐文章于 2024-05-18 00:10:50 发布
阅读量6.2k 收藏 6
点赞数 2
分类专栏: 网络安全 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42527761/article/details/107787147
版权

  • 今天在看xray扫描出来的漏洞报告,看到一个不太懂,便开始了学习,如下图:
    在这里插入图片描述
  • 看到这个敏感信息泄露的报告后,开始重新试验了一下,发现确实存在。
    在这里插入图片描述
  • 对代码进行分析
<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="*" to-ports="*" secure="false"/>
</cross-domain-policy>
  • 返回了cross-domain-policy元素中allow-access-from子元素配置信息
  • domain属性配置请求的域的访问权限,domain="*",表示所有发送请求的域都可以进行访问。
  • to-ports属性配置端口套接字连接权限,to-ports="*",表示所有端口都可以连接到套接字,进行访问。
  • secure属性配置文档访问权限,secure=“false”,表示授予指定来源的所有文档的访问权限。
  • 可以看到对所有域所有端口开放访问权限,并且可以随意访问文档,这是非常危险的。跨域给予便利的同时,也要限制对特定的端口特定的域开放才更安全。

接下来就仔细介绍一下跨域策略文件crossdomain.xml文件

文件简介

  • 所谓跨域,就是需要的资源不在自己的域服务器上,需要访问其他域服务器。跨域策略文件是一个xml文档文件,主要是为web客户端(如Adobe Flash Player等),通过设置跨域处理数据的权限,实现跨域传输数据。

配置规则

cross-domain-policy元素

  • cross-domain-policy元素是跨域策略文件crossdomain.xml的根元素。它只是一个策略定义的容器,没有自己的属性。
  • 其子元素如下:
    在这里插入图片描述

site-control

  • 用于定义当前域的元策略。元策略则是用于指定可接受的域策略文件,且该文件不同于目标域根元素(名为crossdomain.xml)中的主策略文件。

  • 如果客户端收到指示使用主策略文件以外的策略文件,则该客户端必须首先检查主策略的元策略,以确定请求的策略文件是否获得许可。

  • 其属性为:在这里插入图片描述

  • permitted-cross-domain-policies
    用来指定元策略。除套接字策略文件外,所有策略文件的默认值均为master-only,套接字策略文件的默认值为all。

  • 该属性允许的值有:

none:目标服务器上的任何位置(包括该主策略文件)均不允许使用策略文件。
master-only:仅允许这个主策略文件。
by-content-type:仅允许Content-Type:text/x-cross-domain-policy提供的策略文件(只适用于HTTP/HTTPS)。
by-ftp-filename:仅允许文件名为crossdomain.xml的策略文件。(只适用于FTP)
all:允许此目标域中所有的策略文件。

allow-access-from

  1. allow-access-from元素用于授权发出请求的域从目标域中读取数据。可以通过使用通配符(*),为多个域设置访问权限。
  2. 它有以下属性:在这里插入图片描述
domain:指定要授予访问权限的发出请求的域。可以是域名或IP地址。子域将被视为不同的域。指定域时可以使用通配符星号( * )表示多个域。单独使用星号( * )表示所有域。一般不建议设置为星号允许所有域访问。
to-ports:只适用于Sockets。以逗号分隔的端口列表,或者允许连接到套接字连接的一系列端口。端口范围通过在两个端口号之间插入短划线 (-) 指定。端口范围在用逗号隔开时则可以用于指代单个端口。一个通配符 (*) 可用于表示允许所有端口。
secure:只只适用于HTTPS和Sockets。true:指定仅授予指定来源的 HTTPS 文档的访问权限 ,false:授予指定来源的所有文档的访问权限 。如果 HTTPS 策略文件中未指定 secure,则默认为 true。不建议在 HTTPS 策略文件中使用 false,因为这会影响 HTTPS 的安全性。在套接字策略文件中,默认值为 false。只有当套接字服务器接受本地主机连接时,指定 secure=”true” 才有意义,因为本地套接字连接通常不会面临中间人攻击的风险,因此无法更改 secure=”true” 声明。

allow-access-from-identity

  • allow-access-from-identity元素根据加密凭据授予权限,而 allow-access-from 则截然不同,它根据来源授予权限。

allow-http-request-headers-from

  • allow-http-request-headers-from元素用于授权发出请求的域中的请求文档将用户定义的标头发送到目标域。而 allow-access-from 元素旨在授权从目标域提取数据。这个标签授权以标头的形式推送数据。
  • 它有以下属性:在这里插入图片描述
domain:指定要授予访问权限的的域。可以是域名,也可以是IP地址,子域将被视为不同的域。通配符 (*) 单独使用时可用于表示所有域,在用作以句点 (.) 分隔的明确二级域名前缀时表示多个域。表示单个域时需要使用单独的 allow-access-from 元素。
headers:以逗号分隔的标头列表,表示允许发送的请求域。通配符 (*) 可用于准许所有标头或头后缀,从而支持以相同字符开头但以不同字符结尾的标头。
secure:只适用于HTTPS,如果设置为 false,则表示允许 HTTPS 策略文件授权访问 HTTP 源发出的请求。默认值为 true,表示仅提供 HTTPS 源权限。不建议使用 false,不太安全

匹配规则

  • 各个域或子域必须完全匹配。
  • 域通配符与该域本身及所有子域匹配。
  • IP地址和域名匹配
  • 单独使用通配符 (*) 允许所有请求者进行访问(在策略文件范围内的所有内容完全公开的情况下才使用)

文件范例

  • 允许所有资源访问的crossdomain.xml
<?xml version="1.0"?> 
<!DOCTYPE cross-domain-policy SYSTEM 
"http://www.adobe.com/xml/dtds/cross-domain-policy.dtd"> 

<cross-domain-policy> 
<site-control permitted-cross-domain-policies="all"/> 
<allow-access-from domain="*" secure="false"/> 
<allow-http-request-headers-from domain="*" headers="*" secure="false"/> 
</cross-domain-policy>
宇宙小天才
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
crossdomain.xml配置不当的利用和解决办法
weixin_30794499的博客
02-14 2412
00x1: 今天在无聊的日站中发现了一个flash小站,点进crossdomain.xml一看,震惊 本屌看到这个*就发觉事情不对 百度一下,这是一个老洞,配置不当能引起各种问题就算能远程加载恶意的swf文件,(swf是flash专用后缀文件常用于网页和动画制作,再多本屌也不知道了) 该洞出现原因和能造成危害有3点: 1.根本没有配置crossdomain文件 2.配置了,但是写个...
Web常见漏洞描述及修复建议
java_java_cl的博客
07-17 1756
Web常见漏洞描述及修复建议(Description of common Web vulnerabilities and Suggestions for fixingthem)-来自:https://www.cnblogs.com/iAmSoScArEd/p/10651947.html-我超怕的 1.SQL注入   漏洞描述   Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据.
关于跨域策略文件crossdomain.xml文件
weixin_30537451的博客
07-06 420
下载flexpaper源码修改后做成swf阅读器,要加入待阅读的swf文件,可以在flex里调用js的方法来获取swf文件的路径的方法,在js只专注获取路径就行,等着flex来调用:但这里会遇到一个问题那就是出现安全问题,如下的提示: Error #2044: 未处理的 onDocumentLoadedError:。 text=Error #2048: 安全沙箱冲突:http://loca...
MinIO 详解及配置demo
最新发布
weixin_44213835的博客
05-18 1702
MinIO基于Apache License v2.0开源协议的对象存储服务,可以做为云存储的解决方案用来保存海量的图片,视频,文档。由于采用Golang实现,服务端可以工作在Windows,Linux, OS X和FreeBSD上。配置简单,基本是复制可执行程序,单行命令可以运行起来。MinIO兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等,而一个对象文件可以是任意大小,从几kb到最大5T不等。
crossdomain.xml
iteye_16188的博客
03-12 351
参考: [url]https://hackerone.com/reports/43070[/url] [url]http://sethsec.blogspot.in/2014/07/crossdomain-bing.html[/url] [url]http://gursevkalra.blogspot.in/2013/08/bypassing-same-origin-policy-with-...
MinIO安装部署,使用docker版(最新版:8.0.3),已解决莫名其妙的xml解析错误
qq_44004908的博客
10-20 1725
MinIO安装部署,使用docker版(最新版:8.0.3),已解决莫名其妙的xml解析错误 最近在minio官网照着使用docker安装minio的时候,运行没问题,在控制台都可以进行正常操作,唯独使用javasdk操作时,总是抛出xml解析问题,debug一番发现是响应返回的问题。没有解决。后在某篇博客处找到了原因和解决方案,博客链接放底部。此处展示已修改后的方案。 docker安装 先创建基本挂载文件夹 mkdir /root/minio/data mkdir /root/minio/config
crossdomain.xml的配置详解
lqlscn的博客
11-17 2476
https://www.cnblogs.com/kabi/p/5594548.html 目录 1 简介 2 crossdomain.xml的配置详解 3 总结 1 简介 flash在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据。 位于www.a.com域中的SWF文件要访问www.b.com的文件时,SWF首先会检查www.b.com服务器目录下是否有crossdomain.xml文件,如果没有,则访问不成功;若cros
浏览器拦截跨域请求处理方法
qq_27361945的博客
01-25 5676
https://www.cnblogs.com/arxive/p/7204328.html 解决跨域的解决办法有多种,比如jsonp,或者apache 或者nigix里面配置,或者后端的php或者java中配置 cross orgion。 在网上搜了一圈,发现处理方式都差不多,但是我们得清楚这些到底怎么用。 先看下这段代码: 这段代
flash跨域策略文件crossdomain.xml配置详解
当你打算放弃梦想的时候,告诉自己再多撑一天,一个星期,一个月,再多撑一年吧。
08-03 3174
CnCxzSec衰仔's Blog 0x00 目录   0x01 简介 0x02 crossdomain.xml的配置 0x03 总结   0x01 简介   flash在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据。   位于www.a.com域中的SWF文件要访问www.b.com的文
flex 安全沙箱问题备忘
10-28
当a.com中的flash要访问b.com中的资源(如图片等)时,flex会提示安全沙箱错误!
flash跨域策略文件crossdomain.xml配置详解以及防范措施.docx
04-27
总结,Flash 跨域策略文件 crossdomain.xml 是控制 Flash 应用程序跨域访问的关键。正确配置 crossdomain.xml 可以确保数据的安全传输,防止恶意跨域攻击。然而,配置不当可能导致敏感信息泄露或被利用,因此在设置...
webloigc 中设置 flex crossdomain.xml 文件
03-24
`crossdomain.xml`文件是Adobe Flex应用程序用于定义安全策略的一个关键组件,它允许来自不同源的Flash Player或Flex客户端与服务器进行通信。本篇文章将深入探讨如何在WebLogic环境中设置这个文件,以及它对跨域...
ArcGIS server tomcat crossdomain.xml
03-27
当这两个组件结合时,可能会遇到浏览器的同源策略限制,这时候就需要通过`crossdomain.xml`文件来进行跨域配置。 `crossdomain.xml`文件是Adobe Flash Player和某些浏览器遵循的一种安全机制,用于允许特定的跨域...
crossdomain-exploitation-framework:利用过度宽松的 crossdomain.xml 文件所需的一切
07-14
虽然目前还没有多少框架,但您需要利用过度宽松的 crossdomain.xml 文件所需的一切都在这里。 支持的操作系统 卡利 操作系统 下载和设置 root@kali:~ # git clone ...
Flash crossdomain.xml 跨站请求伪造漏洞
qq_45300786的博客
09-10 1293
https://www.cnblogs.com/lidaye1928/p/10373336.html https://www.02405.com/safe/bug/aid%7D.html https://www.seebug.org/vuldb/ssvid-61189
java crossdomin.xml_crossdomain.xml文件配置不当利用手法
weixin_34486033的博客
02-16 1237
‍不恰当的crossdomain.xml配置对存放了敏感信息的域来说是具有很大风险的。可能导致敏感信息被窃取和请求伪造。攻击者不仅仅可以发送请求,还可以读取服务器返回的信息。这意味着攻击者可以获得已登录用户可以访问的任意信息,甚至获得anti-csrf token。‍追溯历史:这是一个很古老的漏洞了。有多老呢,已经有8年了。在计算机领域,8年真的很长很长了。下面是一个粗略的crossdomian....
如果修改Portainer 中的 crossdomain.xml
05-18
修改 Portainer 中的 crossdomain.xml 可能会导致安全风险或者不可预测的问题。crossdomain.xml 是一个用于控制 Flash 跨域访问的文件,修改它可能会导致跨站脚本攻击(XSS)或者其他安全问题。如果你需要进行跨域访问的配置,请谨慎操作,确保你理解所有可能的风险并采取适当的安全措施。 如果你需要进行跨域访问的配置,建议使用更安全的方式,例如使用 CORS(跨源资源共享)规范来控制跨域访问。CORS 是一种更加安全和灵活的跨域访问控制方式,可以在服务器端进行配置,而不需要修改 crossdomain.xml 文件
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值