我不确定我是否正确理解了crossdomain.xml的使用方法。 我正在使用Uploadify(2.1.4)-基于Flash的文件上传器。 我需要从域A上传文件到域B。 Uploadify托管和服务于域A。为了让Uploadify Flash插件与域B通信并上传,我必须在域B上托管crossdomain.xml文件。 因此,如果Uploadify在域B上找到具有其白名单中的域A的crossdomain.xml文件,则将处理向域B的文件上传。这听起来都很好。
然而,我无法理解什么阻止攻击者在本地网站安装中构建克隆上传程序,然后修改etc / hosts以使本地安装使用域A作为域名。现在,攻击者可以上传文件到域B,假装是域A,并且域B会坦率地接受上传,因为它在crossdomain.xml中列出了域A的白名单。
如果像上面那样轻松地规避crossdomain.xml,那么crossdomain.xml的目的是什么? 我对此的理解可能完全错误。 希望能提供一些见解。
然而,我无法理解什么阻止攻击者在本地网站安装中构建克隆上传程序,然后修改etc / hosts以使本地安装使用域A作为域名。现在,攻击者可以上传文件到域B,假装是域A,并且域B会坦率地接受上传,因为它在crossdomain.xml中列出了域A的白名单。
如果像上面那样轻松地规避crossdomain.xml,那么crossdomain.xml的目的是什么? 我对此的理解可能完全错误。 希望能提供一些见解。