網站檢測提示的“Flash配置不當”是什麽漏洞？

360站長平台中有一個工(gōng)具是“官網直達”，通過申請(qǐng)可(kě)以使你(nǐ)的網站在360搜索結果中加上“官網”字樣的标識，百度也有這樣的工(gōng)具，不過是收費的，所以趁着360還(hái)沒收費，有興趣的朋友可(kě)以爲自(zì)己的網站申請(qǐng)一下，申請(qǐng)這項服務有三個基本要求：ICP備案、符合法律法規、網站安全檢測。前兩項要求基本大(dà)部分(fēn)網站都(dōu)符合要求，我今天就(jiù)卡在了第三項網站安全檢測上，無法通過審核。

我的網站使用的是Discuz論壇程序，360網站安全檢測的評分(fēn)是85分(fēn)，出現的唯一一個警告信息是“Flash配置不當”的漏洞，查看(kàn)了一下360官方給出的此漏洞危害：

可(kě)被用來(lái)進行跨域訪問(wèn)，可(kě)能會導緻“跨站點僞造請(qǐng)求”或“跨站點跟蹤”（“跨站點腳本編制”的變體(tǐ)）之類的攻擊，從(cóng)而導緻其它用戶的信息被非法讀(dú)取。

這個漏洞的解決方法很簡單——調整Flash跨域安全策略，Flash跨域策略文件(jiàn)是crossdomain.xml，如(rú)果是Discuz程序的話(huà)，這個文件(jiàn)就(jiù)在Discuz的根目錄中，我們隻需要将這個文件(jiàn)用記事(shì)本打開，将domain="*"中的"*"修改爲你(nǐ)的網站域名即可(kě)，域名前不要加http://。

解決方法就(jiù)是這麽簡單，如(rú)果你(nǐ)隻是爲了解決這個警告信息的話(huà)，到這裡(lǐ)就(jiù)可(kě)以不用再往下看(kàn)了，因爲問(wèn)題已經解決了，但(dàn)如(rú)果你(nǐ)對網絡技術(shù)感興趣的話(huà)，可(kě)以繼續往下面看(kàn)。因爲我覺得(de)還(hái)是有必要和各位網絡技術(shù)愛好者介紹一下crossdomain.xml這個策略文件(jiàn)。

以Discuz論壇程序的crossdomain.xml文件(jiàn)爲例，我們看(kàn)到其中有四行代碼：

1.

2.

3.  

4.

爲了方便介紹，我在每句代碼前面加了序号，第一句是最簡單的，首先聲明xml版本，第二句和第四句是一個完整的開合标簽，稍微有點HTML基礎的朋友都(dōu)清楚這一點。cross-domain-policy是跨域策略中必須的一個節點，也是這個文件(jiàn)中固定的格式，通過這三個英文單詞的意思我們也可(kě)以理(lǐ)解cross-domain-policy的意思，其中cross domain可(kě)以理(lǐ)解爲跨域，policy在這裡(lǐ)是策略的意思。整個文件(jiàn)中最重要的策略屬性就(jiù)是第三句，cross-domain-policy屬于策略文件(jiàn)中的根節點，下面第三句allow-access-from屬于子節點，當然子節點不是隻有allow-access-from這一個，除此之外還(hái)包括site-control、allow-access-from-identity、allow-http-request-headers-from這三個子節點，也就(jiù)是說(shuō)cross-domain-policy下面的子節點隻能是上面提到的這四個，沒有其他(tā)的子節點。

cross-domain-policy是根節點，不能賦予任何屬性，但(dàn)是子節點是可(kě)以賦予屬性的，例如(rú)我們上面例子中的，其中的domain就(jiù)是allow-access-from的屬性之一，隻有domain中指定的域才能通過Flash讀(dú)取域中的信息和内容，例如(rú)我們案例中domain的值是*，就(jiù)代表所有的域都(dōu)有權限通過Flash讀(dú)取我們網站所在域的内容，因此就(jiù)有可(kě)能被别人(rén)跨域訪問(wèn)并獲取我們網站的用戶信息等敏感内容，因此我們在上面的解決方法中，也是将*代替爲我們自(zì)己的域名，這樣隻有我們自(zì)己的域名所在域才有權限通過Flash訪問(wèn)本域的内容。

文章(zhāng)内容及圖片來(lái)自(zì)網絡，如(rú)果侵權，請(qǐng)聯系：901070669@qq.com，我們将及時處理(lǐ)；