flash – 当有例如crossdomain.xml和clientaccesspolicy.xml时有

如果Silverlight代码可以向任何域发出任意Web请求,它将打开大量跨站点脚本攻击的大门.

想象这个场景：
Bob访问www.OnlineBanking.com并登录以查看他的帐户余额.他通过导航到不同的地址离开了这个网站.他没有点击“退出”,所以他仍然登录(或者,他打开一个新的浏览器窗口/标签,让银行网站仍然打开).
Bob浏览到包含Silverlight应用程序的evil.com.
Silverlight应用程序已下载并在Bob的计算机上运行.
此应用程序向www.OnlineBanking.com/secretaccountdetails.html发出Web请求.此文件需要身份验证才能读取(evil.com未经过身份验证,因此无法访问它).
然而,Bob已通过身份验证,请求成功. silverlight应用程序可以读取此文件的内容并随意执行任何操作(包括将其发送到evil.com).

Silverlight中的跨域请求限制可防止上述情况发生.当silverlight应用程序向OnlineBanking.com发出请求时,它将检查跨域策略文件,因为该应用程序是从其他域提供的.由于OnlineBanking.com没有允许跨域请求的策略文件,因此请求失败,Silverlight应用程序无法下载secretaccountdetails.html.