关于flash安全性的关键tips

一，crossdomain.xml配置不当导致csrf等漏洞
? ? ? ? 我们知道，网站根目录下的控制flash访问的授权文件crossdomain.xml指明了远程flash是否允许加载当前网站的资源（如图片，网页内容，flash，cgi等），若配置不当，可能导致未授权的flash可以加载该站点的相关资源，从而可能导致CSRF攻击。
? ? ? ?检查的方法很简单，直接访问http://your.web,site/crossdomain.xml，查看里面的配置信息，一般如下：
<?xml version="1.0"?>
<cross-domain-policy>
? ?? ?<allowe-access-from domain="*" />
</cross-domain-policy>

解决办法如下：
1，对不允许外部加载资源的网站，可以把该文件直接删除，即不授权；
2，对允许指定域名访问的，更改allow-access-from的domain属性为域名白名单，这里需要按照最小化的方式进行设置，举例如下，
? a，若只允许abc.cb.tt.com访问，则设置为：domain="abc.cb.tt.com"
? b，若只允许*.cb.tt.com下各个子域名访问，则设置为：domain="*.cb.tt.com"
? c，若只允许*.tt.com下各个子域名访问，则设置为：domain="*.tt.com"
? ?
二，flash标签配置不当可能导致不信任flash的XSS漏洞 ? ? ? ? ?网页在引入flash的时候，会通过object/embed标签进行加载，在设置标签的时候，如果一些属性配置不当，会带来安全问问题，如flash XSS。这里几个非常关键的参数，说明如下： ?1，allowScriptAccess：是否允许flash访问浏览器脚本，如果不对不信任的flash限制，默认会允许调用浏览器脚本，产生XSS漏洞。allowScriptAccess有以下属性：? ? ? ? ?always：总是允许HTML通信也就是Javascript执行；? ? ? ? ?sameDomain：允许来自本域的flash与HTML通信；? ? ? ? ?never：不允许flash与页面通信。 ? ?2，allowNetworking：是否允许flash访问ActionScript中的网络API，如果不对不信任的flash限制，会带来flash弹窗、CSRF等问题。 ? ? ? ?all：允许所有功能，会带来flash弹窗危害； ? ? ? ?internal；可以向外发送请求/加载网页； ? ? ? ?none：无法进行任何网络相关动作（业务正常功能可能无法使用）? ? ? ? ?配置建议： ? ? ? ?对于不信任flash源，我们可以采取以下措施：? ? ? ? ?allowScriptAccess设置为never? ? ? ? ?allowNetworking设置为none（业务需要可以放宽为internal）