은 crossdomain.xml에서 가장 제한적인 정책입니다.

Question

내 서버의 로그를 볼 수있는 몇 가지 HTTP 때문에이 파일을 추가하고 가장 제한적인 정책을하도록 구성하는 경우의 /crossdomain.xml

궁금 해서요 [사용자 도메인] 404 . 즉 :

<?xml version="1.0"?> 

<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd"> 
-<cross-domain-policy> 
<!-- Read this: www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html --> 

<!-- Most restrictive policy: --> 
<site-control permitted-cross-domain-policies="none"/> 
<!-- Least restrictive policy: --> 

<!-- <site-control permitted-cross-domain-policies="all"/> <allow-access-from domain="*" to-ports="*" secure="false"/> <allow-http-request-headers-from domain="*" headers="*" secure="false"/> --> 

<!-- If you host a crossdomain.xml file with allow-access-from domain="*" and don’t understand all of the points described here, you probably have a nasty security vulnerability. ~ simon willison --> 
</cross-domain-policy> 

은 전혀 가지고 있지 동등겠습니까 (HTML 5 보일러에서 가져온)?

나는 크로스 도메인 오해의 소지가있는 HTTP 404 오류를 발견하고 따라서이를 제거하여 실제 서버를보다 효과적으로 식별 할 수 있습니다.

Answer 1

아닙니다. 사양 주 : 즉

, 루트 도메인 간 정책은 포함하지 않는 수-액세스로부터 지시 또는 HTTP 헤더. 의 메타 정책은 "없음"으로 표시되어 개발자가 포함하더라도 다른 정책 (예 : )을 사용할 수 없습니다. allow-access-from 또는 메타 정책이 "none"인정책 파일의 루트 도메인 간 헤더 정책을 사용하는 것은 유효하지 않습니다. 잘못된 정책에 "없음"설정과 다른 지시문이 모두있는 경우 "none"은 우선 순위를 가지며 사이트에는 사용 권한이 없습니다.

따라서 가장 제한적인 기술은 "없음"을 사용하는 것입니다.