Para sitios de carga de usuarios no confiables: ¿cuál debería ser el contenido de crossdomain.xml y clientaccesspolicy.xml?

Navega tus respuestas
2

Flash tiene un largo historial de ignorar los tipos de archivos MIME y leer el archivo directamente para contenido ejecutable o permisos de ejecución entre dominios. Eso significa que un usuario malintencionado puede aprovechar esto para crear fallas XSS en el mismo dominio que mis otros servicios seguros.

Ya que no estaré publicando flash desde mi sitio, y la presencia de un documento flash en el mismo dominio causará un riesgo de seguridad, quiero bloquear todas las acciones XSS iniciadas por Flash.

¿Cuál es el contenido recomendado de crossdomain.xml o clientaccess.xml ?

    
pregunta random65537 05.03.2012 - 02:18
fuente

2 respuestas

1

Con respecto a los problemas de Flash, cada sitio que no use Flash debería usar uno de los dos archivos en la raíz del servidor web llamado crossdomain.xml . Esto evitará que XSS a través de ese complemento 

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM  
 "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">

<cross-domain-policy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://www.adobe.com/xml/schemas/PolicyFile.xsd">
  <site-control permitted-cross-domain-policies="master-only"/>
</cross-domain-policy>

La directiva "Sólo maestro" impide que se lea cualquier otro archivo, incluso si tienen el tipo de contenido correcto. El tipo MIME de este archivo debe ser text/x-cross-domain-policy

    
respondido por el random65537 05.03.2012 - 02:21
fuente
1

Si le preocupa que los usuarios suban archivos swf, es posible que también desee configurar: Opciones de tipo de contenido X: nosniff

Y puedes verificar fácilmente los primeros bytes del archivo para determinar si es un flash.

    
respondido por el Erlend 06.03.2012 - 07:55
fuente

Lea otras preguntas en las etiquetas

El punto de PCI 1.3.1 a 1.3.3 ¿Cómo puede la contraseña del enrutador inalámbrico encriptar los datos usando WEP y WPA?