gpt4 book ai didi

flash - 如果有例如 crossdomain.xml 和 clientaccesspolicy.xml 的意义是什么? PHP/ curl ?

转载 作者:行者123 更新时间:2023-12-04 10:46:20 24 4
gpt4 key购买 nike

假设我有一个站点,但上面没有 crossdomain.xml 或 clientaccesspolicy.xml。

这意味着人们无法通过 Silverlight 或 Flash 应用程序访问我的网站。

但是他们可以使用 PHP 中的 cURL(或其他语言中的等效项)从我的站点获取信息,并通过 REST 或 WebService 等将其提供给他们的 Silverlight 和 Flash 应用程序。

  • 有人可以确切解释这些限制如何保护我的网站,例如从跨域脚本?
  • 他们要防止什么无法通过 PHP/cURL 和通过脚本访问我的网站的等价物来完成?
  • 最佳答案

    PHP 是一种服务器端技术,代码在服务器上执行,而不是在用户的机器上。
    Silverlight 是一种在用户机器上运行的客户端技术。

    如果 Silverlight 代码可以向任何域发出任意 Web 请求,它就会为大量跨站点脚本攻击打开大门。

    想象一下这个场景:
    Bob 转到 www.OnlineBanking.com 并登录以查看他的帐户余额。他通过导航到另一个地址离开了该站点。他没有单击“注销”,因此他仍处于登录状态(或者,他打开一个新的浏览器窗口/选项卡,使银行站点仍处于打开状态)。
    Bob 浏览到 evil.com,其中包含 Silverlight 应用程序。
    Silverlight 应用程序已下载并在 Bob 的机器上运行。
    此应用程序向 www.OnlineBanking.com/secretaccountdetails.html 发出 Web 请求。此文件需要身份验证才能读取(evil.com 未经过身份验证,因此无法访问它)。
    然而,Bob 经过身份验证,请求成功。 Silverlight 应用程序可以读取该文件的内容并对其进行任何操作(包括将其发送到 evil.com)。

    Silverlight 中的跨域请求限制阻止了上述情况的发生。当 Silverlight 应用程序向 OnlineBanking.com 发出请求时,它将检查跨域策略文件,因为该应用程序是从不同的域提供的。由于 OnlineBanking.com 没有允许跨域请求的策略文件,因此请求失败并且 Silverlight 应用程序无法下载 secretaccountdetails.html。

    关于flash - 如果有例如 crossdomain.xml 和 clientaccesspolicy.xml 的意义是什么? PHP/ curl ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/587981/

    24 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com