Czy ktoś może opublikować dobrze sformatowaną próbkę crossdomain.xml?

80

Czytałem, że Adobe zaostrzył crossdomain.xml we flashu 9-10 i zastanawiam się, czy ktoś może wkleić mi kopię tego, o którym wie, że działa. Masz problem ze znalezieniem najnowszej próbki w witrynie Adobe.

flash crossdomain.xml

— CloudMeta
źródło

Może się to wydawać niebezpiecznie oczywiste, ale jako programista Flash z 10-letnim doświadczeniem mogę powiedzieć, że każdy plik zasad, jaki kiedykolwiek zaimplementowałem, zawiódł i nawet nie udawał, że działa ... aż do dzisiaj. Okazuje się, że musisz AKTUALNIE ZAŁADOWAĆ plik zasad samodzielnie. Dokumenty sprawiają, że brzmi to tak, jakby Flash automatycznie szukał plików crossdomain.xml przed wystąpieniem błędu SecuritySandbox. Więc jeśli masz problemy, upewnij się, że

— ŁADUJESZ

103

Oto, czego używałem do programowania:

<?xml version="1.0" ?>
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>

To bardzo liberalne podejście, ale w mojej aplikacji jest dobre.

Jak inni zauważyli poniżej, uważaj na ryzyko.

— Mitch Haile
źródło

30

W pewnym sensie to działa, ale zwróć uwagę na ryzyko: oznacza to, że każda witryna internetowa może wysyłać żądania do Twojej witryny w imieniu użytkownika, pliki cookie i wszystko inne, i czytać odpowiedź bez problemu. W przypadku większości aplikacji internetowych jest to ogromna luka w zabezpieczeniach. Tak więc, chociaż to podejście ma swoje miejsce, należy znać ryzyko i w razie potrzeby stosować ścisłe podejście do białej listy (co prawie zawsze dotyczy aplikacji produkcyjnych).

— Matchu

3

Czy nie używać tego na zewnątrz rozwój. To dokładnie pasuje do przykładu „źle skonfigurowanego crossdomain.xml” z zaostrzonego projektu PHP .

— Greg K,

2

jeśli udostępniasz plik samodzielnie, pamiętaj, aby ustawić poprawny typ contentType: "text / x-cross-domain-policy"

— fiffy

Jest jedna (i tylko jedna) okoliczność, w której byłoby to dopuszczalne w środowisku produkcyjnym: gdy instalujesz go w domenie, która obsługuje tylko pliki statyczne do użytku aplikacji w innych domenach. Przykład: masz subdomenę „images.moja_domena.com”, która obsługuje wszystkie obrazy z Twojej witryny (prawdopodobnie przy użyciu jakiegoś rodzaju CDN) i nic więcej .

— Periata Breatta

34

Jeśli korzystasz z usług sieciowych, będziesz potrzebować również elementu „allow-http-request-headers-from”. Oto nasza domyślna polityka „zezwalaj na wszystko”.

<?xml version="1.0" ?>
<cross-domain-policy>
  <site-control permitted-cross-domain-policies="master-only"/>
  <allow-access-from domain="*"/>
  <allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>

— Spodnie
źródło

22

może powinieneś wspomnieć, czy / jak może to być niebezpieczne?

— philfreo

Gdzie zapisać ten plik XML

— Sajitha Rathnayake

Zawsze używam schematu Adobe. Oto przykład luźnego: http://stackoverflow.com/a/26433744/257319

Zapisz na poziomie domeny, na który ma to wpłynąć. na przykład. example.com/crossdomain.xml

— iedoc

30

Spójrz na Twittera:

http://twitter.com/crossdomain.xml

<?xml version="1.0" encoding="UTF-8"?>
<cross-domain-policy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://www.adobe.com/xml/schemas/PolicyFile.xsd">
    <allow-access-from domain="twitter.com" />
    <allow-access-from domain="api.twitter.com" />
    <allow-access-from domain="search.twitter.com" />
    <allow-access-from domain="static.twitter.com" />
    <site-control permitted-cross-domain-policies="master-only"/>
    <allow-http-request-headers-from domain="*.twitter.com" headers="*" secure="true"/>
</cross-domain-policy>

— Zhami
źródło

1

lub adobe.com/crossdomain.xml lub github.com/crossdomain.xml lub twitter.com/crossdomain.xml lub facebook.com/crossdomain.xml lub google.com/crossdomain.xml lub bing.com/crossdomain.xml lub medium .com / crossdomain.xml lub developers.google.com/crossdomain.xml

— Null

9

W miejscu produkcji wydaje się to odpowiednie:

<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="www.mysite.com" />
<allow-access-from domain="mysite.com" />
</cross-domain-policy>

— trante
źródło

5

Wersja crossdomain.xml była dostarczana z HTML5 Boilerplate, który jest produktem wielu lat iteracyjnego rozwoju i połączonej wiedzy społeczności. Jednak od tego czasu został usunięty z repozytorium. Skopiowałem to tutaj dosłownie i dołączyłem link do zatwierdzenia, w którym został usunięty poniżej.

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
  <!-- Read this: https://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html -->

  <!-- Most restrictive policy: -->
  <site-control permitted-cross-domain-policies="none"/>

  <!-- Least restrictive policy: -->
  <!--
  <site-control permitted-cross-domain-policies="all"/>
  <allow-access-from domain="*" to-ports="*" secure="false"/>
  <allow-http-request-headers-from domain="*" headers="*" secure="false"/>
  -->
</cross-domain-policy>

Usunięte w # 1881
https://github.com/h5bp/html5-boilerplate/commit/58a2ba81d250301e7b5e3da28ae4c1b42d91b2c2

— ThisClark
źródło