flash – 在crossdomain.xml中使用secure = false会有什么风险
发布时间:2020-12-15 07:29:47 所属栏目:百科 来源:网络整理
导读:allow-access-from节点具有可选属性“secure”.所以说mysite.com上的crossdomain.xml有: allow-access-from domain="subdomain.example.com" secure="false" 如果将此设置为true(默认值),则通过HTTP检索的Flash客户端无法通过HTTPS访问mysite.com上的数据.
|
allow-access-from节点具有可选属性“secure”.所以说mysite.com上的crossdomain.xml有:
<allow-access-from domain="subdomain.example.com" secure="false"> 如果将此设置为true(默认值),则通过HTTP检索的Flash客户端无法通过HTTPS访问mysite.com上的数据. 我只能想到将安全设置为假的一个风险:具有中毒主机文件或DNS服务器的用户可能会被转移到虚假http://subdomain.example.com上的闪存客户端.此Flash客户端现在可以访问mysite.com上的敏感数据(假设我们的用户登录mysite.com). 还有其他风险吗?我假设数据仍然是加密的,因为客户端连接到https服务器,因此它在传输上受到保护. 我已经阅读了Flash安全白皮书,但没有详细介绍风险: 谢谢! 解决方法
虽然发送到您的SWF的任何数据都是安全的(假设它通过HTTPS连接),但是如您所知,通过此设置从第三方发送到SWF的数据将不安全.
例如,我使用我的社会安全号码登录您的瑞士法郎.与SWF的连接是安全的,所以我在那里“安全”.但是,您的SWF通过HTTP将登录数据发送到您的服务器以验证我的凭据.使用不安全的连接从服务器接收有价值的数据后,安全性会受到影响. 如果数据不重要,那么你是安全的,但根据经验,我总是会在可能的情况下将HTTPS连接到HTTPS. 问候- (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |