這是什么漏洞？

yolo

網(wǎng)安部門(mén)發(fā)來(lái)一個(gè)風(fēng)險(xiǎn)隱患要求整改，大神們幫看看這是什么漏洞？

隱患名稱(chēng)

不安全的crossdomain.xml策略

隱患類(lèi)型

權(quán)限許可和訪問(wèn)控制

問(wèn)題描述

瀏覽器安全模型通常會(huì)阻止來(lái)自一個(gè)域的 Web 內(nèi)容訪問(wèn)來(lái)自另一個(gè)域的數(shù)據(jù)。這通常被稱(chēng)為 “同源策略”。 URL 策略文件授予跨域讀取數(shù)據(jù)的權(quán)限。它們?cè)试S默認(rèn)情況下不允許的操作。默認(rèn)情況下，URL 策略文件位于目標(biāo)服務(wù)器的根目錄中，名稱(chēng)為 crossdomain.xml。當(dāng)在文件中指定域時(shí)crossdomain.xml站點(diǎn)聲明它愿意允許該域中任何服務(wù)器的操作員獲取策略文件所在的服務(wù)器上的任何文檔。此網(wǎng)站上部署的 crossdomain.xml 文件將服務(wù)器打開(kāi)到所有域（支持使用單個(gè)星號(hào)“*”作為純通配符）。

整改建議

文件中的allow-access-from 實(shí)體設(shè)置為星號(hào)設(shè)置為允許任何域訪問(wèn)，將其修改為 <allow-access-from domain=”*.example.com” />，表示只允許本域訪問(wèn)。

我知道答案 回答被采納將會(huì)獲得1 貢獻(xiàn) 已有0人回答