程序會定義過于寬松的跨域策略。
默認情況下,Flash 應用程序需要遵循 Same Origin Policy(同源策略),該策略可確保來自同一個域的兩個 SWF 應用程序能夠訪問各自的數據。Adobe Flash 允許開發人員通過編程或 crossdomain.xml 配置文件中的相應設置來更改策略。不過,更改此設置時應小心謹慎,如果跨域策略過于寬松,惡意應用程序就能趁機采用不當方式與受攻擊的應用程序進行通信,從而導致發生欺騙、數據被盜、轉發及其他攻擊。
例 1:在以下示例中,通過程序使用通配符指定應用程序允許與其通信的域。
flash.system.Security.allowDomain("*");
* 作為 allowDomain() 的參數表明該應用程序的數據可供來自任何域的其他 SWF 應用程序訪問。
[1] Matt Wood and Prajakta Jagdale Auditing Adobe Flash through Static Analysis
[2] Peleus Uhley Creating more secure SWF web applications
[3] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.10