网站检测提示的“Flash配置不当”是什么漏洞?
日期:2016-06-11 18:41
360站长平台中有一个工具是“官网直达”,通过申请可以使你的网站在360搜索结果中加上“官网”字样的标识,百度也有这样的工具,不过是收费的,所以趁着360还没收费,有兴趣的朋友可以为自己的网站申请一下,申请这项服务有三个基本要求:ICP备案、符合法律法规、网站安全检测。前两项要求基本大部分网站都符合要求,我今天就卡在了第三项网站安全检测上,无法通过审核。
我的网站使用的是Discuz论坛程序,360网站安全检测的评分是85分,出现的唯一一个警告信息是“Flash配置不当”的漏洞,查看了一下360官方给出的此漏洞危害:
可被用来进行跨域访问,可能会导致“跨站点伪造请求”或“跨站点跟踪”(“跨站点脚本编制”的变体)之类的攻击,从而导致其它用户的信息被非法读取。
这个漏洞的解决方法很简单——调整Flash跨域安全策略,Flash跨域策略文件是crossdomain.xml,如果是Discuz程序的话,这个文件就在Discuz的根目录中,我们只需要将这个文件用记事本打开,将domain="*"中的"*"修改为你的网站域名即可,域名前不要加http://。
flash跨域策略文件
解决方法就是这么简单,如果你只是为了解决这个警告信息的话,到这里就可以不用再往下看了,因为问题已经解决了,但如果你对网络技术感兴趣的话,可以继续往下面看。因为我觉得还是有必要和各位网络技术爱好者介绍一下crossdomain.xml这个策略文件。
以Discuz论坛程序的crossdomain.xml文件为例,我们看到其中有四行代码:
1.<?xml version="1.0"?>
2.<cross-domain-policy>
3. <allow-access-from domain="*" />
4.</cross-domain-policy>
为了方便介绍,我在每句代码前面加了序号,第一句是最简单的,首先声明xml版本,第二句和第四句是一个完整的开合标签,稍微有点HTML基础的朋友都清楚这一点。cross-domain-policy是跨域策略中必须的一个节点,也是这个文件中固定的格式,通过这三个英文单词的意思我们也可以理解cross-domain-policy的意思,其中cross domain可以理解为跨域,policy在这里是策略的意思。整个文件中最重要的策略属性就是第三句,cross-domain-policy属于策略文件中的根节点,下面第三句allow-access-from属于子节点,当然子节点不是只有allow-access-from这一个,除此之外还包括site-control、allow-access-from-identity、allow-http-request-headers-from这三个子节点,也就是说cross-domain-policy下面的子节点只能是上面提到的这四个,没有其他的子节点。
cross-domain-policy是根节点,不能赋予任何属性,但是子节点是可以赋予属性的,例如我们上面例子中的<allow-access-from domain="*" />,其中的domain就是allow-access-from的属性之一,只有domain中指定的域才能通过Flash读取域中的信息和内容,例如我们案例中domain的值是*,就代表所有的域都有权限通过Flash读取我们网站所在域的内容,因此就有可能被别人跨域访问并获取我们网站的用户信息等敏感内容,因此我们在上面的解决方法中,也是将*代替为我们自己的域名,这样只有我们自己的域名所在域才有权限通过Flash访问本域的内容。
我的网站使用的是Discuz论坛程序,360网站安全检测的评分是85分,出现的唯一一个警告信息是“Flash配置不当”的漏洞,查看了一下360官方给出的此漏洞危害:
可被用来进行跨域访问,可能会导致“跨站点伪造请求”或“跨站点跟踪”(“跨站点脚本编制”的变体)之类的攻击,从而导致其它用户的信息被非法读取。
这个漏洞的解决方法很简单——调整Flash跨域安全策略,Flash跨域策略文件是crossdomain.xml,如果是Discuz程序的话,这个文件就在Discuz的根目录中,我们只需要将这个文件用记事本打开,将domain="*"中的"*"修改为你的网站域名即可,域名前不要加http://。
flash跨域策略文件
解决方法就是这么简单,如果你只是为了解决这个警告信息的话,到这里就可以不用再往下看了,因为问题已经解决了,但如果你对网络技术感兴趣的话,可以继续往下面看。因为我觉得还是有必要和各位网络技术爱好者介绍一下crossdomain.xml这个策略文件。
以Discuz论坛程序的crossdomain.xml文件为例,我们看到其中有四行代码:
1.<?xml version="1.0"?>
2.<cross-domain-policy>
3. <allow-access-from domain="*" />
4.</cross-domain-policy>
为了方便介绍,我在每句代码前面加了序号,第一句是最简单的,首先声明xml版本,第二句和第四句是一个完整的开合标签,稍微有点HTML基础的朋友都清楚这一点。cross-domain-policy是跨域策略中必须的一个节点,也是这个文件中固定的格式,通过这三个英文单词的意思我们也可以理解cross-domain-policy的意思,其中cross domain可以理解为跨域,policy在这里是策略的意思。整个文件中最重要的策略属性就是第三句,cross-domain-policy属于策略文件中的根节点,下面第三句allow-access-from属于子节点,当然子节点不是只有allow-access-from这一个,除此之外还包括site-control、allow-access-from-identity、allow-http-request-headers-from这三个子节点,也就是说cross-domain-policy下面的子节点只能是上面提到的这四个,没有其他的子节点。
cross-domain-policy是根节点,不能赋予任何属性,但是子节点是可以赋予属性的,例如我们上面例子中的<allow-access-from domain="*" />,其中的domain就是allow-access-from的属性之一,只有domain中指定的域才能通过Flash读取域中的信息和内容,例如我们案例中domain的值是*,就代表所有的域都有权限通过Flash读取我们网站所在域的内容,因此就有可能被别人跨域访问并获取我们网站的用户信息等敏感内容,因此我们在上面的解决方法中,也是将*代替为我们自己的域名,这样只有我们自己的域名所在域才有权限通过Flash访问本域的内容。
版权声明:部分图片和文字来源于网络,出处无从查起,如涉及版权问题,请联系进行删除。
热门资讯
展示型企业网站制作需要把控好哪几个关键点
展现型网站和营销网站较大的不一样是两者营销推广的是公司,而前者高度重视的是品牌推广。企业官网要想要访问..
日期:2019-08-16 浏览:175企业网站制作有什么方式能选?
说到企业网站制作,最先,人们必须掌握的是,相关建网站的方法不停这种,一般来说,有几种方法较为普遍。二、..
日期:2019-08-01 浏览:76通过网站SEO优化提升用户体验的方法有哪些
SEO优化中有个怪异的状况:关键字排名高,引流方法停站的浏览量要求精准,但跳失率高,转换低。通常网站最好的..
日期:2019-09-30 浏览:120睿虎网络为你讲解什么是网站前台和网站后台
睿虎网络为你讲解什么是网站前台和网站后台,南宁网站建设公司,南宁网站建设,南宁睿虎网站建设公司什么是网..
日期:2019-09-13 浏览:0企业网站建设的重点主要包含哪些
许多人觉得,网站基本建设的重中之重应当在视觉冲击上;(4)网站基本建设应合乎seo规定公司新建站的另外,也不可..
日期:2019-11-18 浏览:170企业网站建设必须要注意的4个关键点
基本建设一个出色的有诱惑力的网站是公司开展互联网营销的取得成功的第一步。网站的导行基本建设一定要清楚一..
日期:2019-11-13 浏览:129网站制作公司:网站设计中安全系数尤为重要
统计数据安全保密性是为了保证只能受权客户能够浏览统计数据,而且在传送全过程或存储过程中,别人不容易搜集..
日期:2019-08-17 浏览:150