跨域访问漏洞

跨域访问漏洞起因是web网站中的crossdomain.xml策略的不正确导致的
如信息泄漏，csrf等，常见的失误配置：
permitted-cross-domain-policies为所有造成加载目标域上的任何文件作为跨域策略文件，甚至是一个jpg也可以作为策略文件被加载。
allow-access-from设为 * 表示任何的域，有权限通过flash读取本域中的内容，匹配所有域和ip地址，此时任何域就都可以跨域访问本域的内容了。

如果实战中，网站泄漏了crossdomain.xml的话，我们就可以通过查看其配置来判断是否存在此问题：

<?xml version="1"?>
    <cross-domain-policy>
    <site-control permitted-cross-domain-policies="all" />
    <allow-access-from domain="*" />
    <allow-http-request-headers-from domain="*" headers="*" />
        </cross-domain-policy>

如果像以上一样，基本就可以判断存在漏洞了。

修复建议：
site-control标签中，permitted-cross-domain-policies属性应该根据业务实际需求而做相应设置，属性值设置为all也很不合理。
第四行中 domain属性应该根据最小化原则按需配置，仅允许可信任的来源跨域访问本域内容，而不应该将属性设置为* 。
第五行中domain属性也应该如上设置。