星期二, 十月 10, 2006

J.Grossman:Flash跨域策略文件的漏洞统计

网络安全专家Jeremiah Grossman统计了针对Flash跨站点请求伪造(CSRF)的漏洞,包括Alex100(US)和财富500强的网站。发现分别有36%和8%的网站使用了crossdomain.xml来提供Flash的跨站点访问。而分别有6%和2%的网站允许访问任意的域名。

Flash内置类似JavaScript的ActionScript,可以进行异步HTTP请求。因此,默认的设置是,这样的HTTP请求不可以跨越站点。比如:

http://www.foo.com/flash.swf想要请求http://foo.com/data.txt或者http://www.bar.com/data.xml都是不可能的。

但是,某些应用确实需要让flash访问另一个域名的站点,这时,被请求的服务器根目录需要有一个xml策略文件“crossdomain.xml”,修改授权,让该Flash得以访问www.bar.com/data.xml。

事实上,Flash的System.security.loadPolicyFile()可以指定传送策略文件使用的端口。

参考:
Flashplayer 7 releasenotes

没有评论: