flash – 攻击者如何规避crossdomain.xml

我不确定我是否正确理解了crossdomain.xml的用法.我是,使用Uploadify(2.1.4) – 一个基于闪存的文件上传器.我需要将文件从域A上传到域B. Uploadify由域A托管和提供.要允许Uploadify Flash插件进行通信并上传到域B,我必须在域B上托管一个crossdomain.xml文件.所以如果Uploadify在域B上找到了包含域A的白名单中的crossdomain.xml文件,则将处理到域B的文件上载.到目前为止听起来都不错.

但是,我无法理解是什么阻止攻击者在他的计算机上安装本地网站上的克隆上传器,然后修改etc / hosts以使本地安装使用域A作为域名.现在,攻击者可以将文件上传到域B,假装是域A,域B将坦率地接受上传,因为它在crossdomain.xml中的白名单中列出了域A.

如果它可以像上面那样容易被规避,那么crossdomain.xml的目的是什么？我对此的理解可能完全错了.洞察力会有所帮助.