OWASP 表示 X-Permitted-Cross-Domain-Policies 安全标头赋予 Web 客户端“跨域处理数据的权限”。它特别指出 Adobe 的 Flash Player 和 Acrobat PDF Reader 使用此标头,并且其他 Web 客户端也可能受益于该标头。提供的参考链接强化了 Adobe 产品的优势,但并未提供此安全标头有益的任何其他情况。
除非我使用 Flash 或 PDF,否则我找不到此标题的任何好处。那么从这个角度来看,如果我不使用 Adobe 产品,X-Permitted-Cross-Domain-Policies 标头是否对我的网站有任何好处?
你把它弄错了。很像Access-Control-Allow-Origin目的是允许其他系统(在这种情况下特别是 Web 托管的 Flash 和 PDF 内容)访问您的域。“远程域”是您,“源域”是我们要防御的人。
当客户端请求托管在特定源域上的内容并且该内容发出指向其自身域以外的域的请求时,远程域需要托管一个跨域策略文件,该文件授予对源域的访问权限,从而允许客户端继续交易。通常在主策略文件中声明一个元策略,但是对于那些不能写入根目录的人,他们也可以使用 X-Permitted-Cross-Domain-Policies HTTP 响应头声明一个元策略。
默认情况下,Adobe 的软件会阻止所有跨域请求,就像浏览器阻止跨域 XMLHttpRequest 一样。
不需要的策略文件可能会意外或恶意进入您的网站。在这种情况下添加的目的X-Permitted-Cross-Domain-Policies是覆盖它,以便客户端仍然阻止不需要的请求。
Microsoft Silverlight 使用不同的策略文件格式,但它也可能仍使用此标头。
如果您允许人们上传文件,或者担心入侵者使用不同的漏洞将文件获取到您的服务器上,并且您的域上的内容不应通过其他可能试图冒充您的网站访问,那么“是”X-Permitted-Cross-Domain-Policies将提供安全优势。如今,这种攻击的相关性已降低,因为首先需要诱骗任何现代软件用户允许使用 Flash 或活动 PDF 内容。
如果您的网站只是一个普通网站,不需要登录即可访问,那么您就不需要它。
是的,同意这一点,此标题是为 Flash 播放器和 PDF 制作的,不一定是 Adobe 产品,其他 Flash 播放器将需要它。如果您不使用您的站点分发 Flash 播放器或 pdf 文件,那么您不需要此标题。