程序會定義過于寬松的自定義頭文件策略。
默認情況下,Flash 應用程序需要遵循 Same Origin Policy(同源策略),該策略可確保來自同一個域的兩個 SWF 應用程序能夠訪問各自的數據。Adobe Flash 允許開發人員通過編程或 crossdomain.xml 配置文件中的相應設置來更改策略。從 Flash Player 9.0.124.0 開始,Adobe 也引入了定義 Flash Player 可以跨域發送的自定義頭文件的功能。不過,定義這些設置時應小心謹慎,如果自定義頭文件策略過于寬松,將其與同樣過于寬松的跨域策略結合使用時,將使得惡意應用程序能夠將其選擇的頭文件發送給目標應用程序,從而可能遭受多種攻擊,或在執行不知道如何處理收到的頭文件的應用程序時出現錯誤。
例 1:在以下示例中,使用通配符指定 Flash Player 可以跨域發送的頭文件。
<cross-domain-policy>
<allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>
* 作為 headers 屬性的值表明將跨域發送任何頭文件。
[1] Matt Wood and Prajakta Jagdale Auditing Adobe Flash through Static Analysis
[2] Peleus Uhley Creating more secure SWF web applications
[3] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.10