不安全的跨域策略 (allow-access-from)

low Web App Scanning 插件 ID 98067

简介

不安全的跨域策略 (allow-access-from)

描述

浏览器安全模型通常会阻止一个域的 Web 内容访问另一个域的数据。这通常称为“同源策略”。

URL 策略文件会授予读取数据的跨域权限。它们允许执行默认不允许的操作。默认情况下,Silverlight 的 URL 策略文件位于目标服务器的 root 目录中,文件名为 `crossdomain.xml`(例如,位于 `www.example.com/crossdomain.xml` 中)。

在 `crossdomain.xml` 中指定域时,该站点声明愿意允许该域中任何服务器的操作员获取策略文件所在服务器上的任何文档。

此网站上部署的 `crossdomain.xml` 文件可向所有域打开服务器(支持使用单个星号“*”作为纯通配符)。

解决方案

仔细评估将允许哪些站点进行跨域调用。
考虑将受到跨域策略之配置或实现影响的网络拓扑信息和任何身份验证机制。

另见

http://blogs.adobe.com/stateofsecurity/2007/07/crossdomain_policy_files_1.html

https://www.owasp.org/index.php/Test_Cross_Origin_Resource_Sharing_%28OTG-CLIENT-007%29

插件详情

严重性: Low

ID: 98067

类型: remote

发布时间: 2017/3/31

最近更新时间: 2024/5/21

扫描模板: api, basic, full, pci, scan

风险信息

VPR

风险因素: Low

分数: 2.2

CVSS v2

风险因素: Low

基本分数: 2.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS 分数来源: Tenable

CVSS v3

风险因素: Low

基本分数: 3.1

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVSS 分数来源: Tenable

CVSS v4

风险因素: Low

Base Score: 2.1

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS 分数来源: Tenable

参考资料信息