WooYun.org

"*"代表任意的啊~~~！！！！！
安全的服务端flash安全策略
应用程序安全设计的时候应该秉承最小化原则，在flash的大部分应用中，由于功能需求就经常需要跨域获取数据。域安全是浏览器安全的基本策略，flash作为浏览器的扩展允许跨域获取数据就从根本上打破了浏览器的安全性。flash以flash文件存储域名作为它的当前域，如果需要获取其他服务器上的数据就会发生跨域行为，而且该跨域行为会继承用户浏览器里的认证信息，限制不严格时将导致安全漏洞，打破我们的整个客户端安全模型。flash在跨域时唯一的限制策略就是crossdomain.xml文件，该文件限制了flash是否可以跨域获取数据以及允许从什么地方跨域获取数据。通过严格控制该策略文件我们就可以为应用程序安全和功能上寻找到一个平衡点。
典型的crossdomain.xml文件策略
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*.80sec.com" />
</cross-domain-policy>
其中最主要的策略是allow-access-from表示允许来自哪些域的跨域请求，早期的flash允许从其他位置载入自定义的策略文件，目前最新版的flash在接受自定义的策略文件之前会去检查主目录的crossdomain.xml来判断是否接受自定义策略文件。该选项由
<site-control permitted-cross-domain-policies="by-content-type"/>
节点控制，不加该选项时，默认情况下flash不加载除主策略文件之外的其他策略文件，即只接受根目录里的/crossdomain.xml。这对于防止利用上传文件来定义自己策略文件的攻击非常有效。为了在某些条件下需要启用其他策略文件，我们需要设置permitted-cross-domain-policies，设置为by-content-type时将会只允许http头为text/x-cross-domain-policy的策略文件，当为all时则允许所有的text/xml等格式的策略文件。
应用程序在设计的时候按照最小化原则
1 将文件上传和应用的域名分开，防止通过上传flash文件直接获得域操作的权限。
2 对于不需要使用flash的应用严禁在域名目录下部署flash策略文件。
3 对于有功能需求的应用遵循最小化原则将域名限制到最小的范围，有安全需求的应用应该明确允许跨域请求的域，禁止直接使用*通配符，这将导致跨域访问权限的扩散。
详细 http://www.80sec.com/flash-security-polic.html