偵測

不安全的跨網域原則 (allow-http-request-headers-from)

low Web App Scanning Plugin ID 98068

語系:

概要

不安全的跨網域原則 (allow-http-request-headers-from)

說明

瀏覽器安全性模型通常可防止某個網域的 Web 內容存取另一個網域的資料,這通常稱為「同源原則」。

URL 原則檔案授予跨網域讀取資料的權限,允許預設不允許的作業。根據預設,Silverlight 的 URL 原則檔案位於目標伺服器的根目錄中,名稱為「crossdomain.xml」 (例如,位於「www.example.com/crossdomain.xml」)。

在 `crossdomain.xml` 中指定網域時,網站宣告其願意允許該網域中任何伺服器的操作員取得原則檔案所在伺服器上的任何文件。

此網站上部署的「crossdomain.xml」檔案可將伺服器開放給所有網域 (支援使用單一星號「*」作為純萬用字元)。

解決方案

請仔細評估要允許哪些網站進行跨網域呼叫。
考慮會受到跨網域原則設定或實作影響的網路拓撲和任何驗證機制。

另請參閱

http://blogs.adobe.com/stateofsecurity/2007/07/crossdomain_policy_files_1.html

https://www.owasp.org/index.php/Test_Cross_Origin_Resource_Sharing_%28OTG-CLIENT-007%29

Plugin 詳細資訊

嚴重性: Low

ID: 98068

類型: remote

已發布: 2017/3/31

已更新: 2024/5/21

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Low

分數: 2.2

CVSS v2

風險因素: Low

基本分數: 2.6

媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Low

基本分數: 3.1

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVSS 評分資料來源: Tenable

參考資訊