it-swarm.com.de

Hat der Header "X-Permitted-Cross-Domain-Policies" Vorteile für meine Website, wenn ich keine Adobe-Produkte verwende?

Laut OWASP gibt der Sicherheitsheader X-Permitted-Cross-Domain-Policies Web-Clients " Berechtigung zum domänenübergreifenden Umgang mit Daten ". Es heißt ausdrücklich, dass Adobe Flash Player und Acrobat PDF Reader diesen Header verwenden und dass andere Web-Clients möglicherweise davon profitieren könnten Die bereitgestellten Referenzlinks verstärken den Vorteil für Adobe-Produkte, geben jedoch keine anderen Situationen an, in denen dieser Sicherheitsheader von Vorteil ist.

Ich kann keinen Vorteil für diesen Header finden, es sei denn, ich verwende Flash oder PDF. Hat der Header "X-Permitted-Cross-Domain-Policies" in diesem Licht Vorteile für meine Website, wenn ich keine Adobe-Produkte verwende?

8
Taul

Du hast es falsch herum. Ähnlich wie bei Access-Control-Allow-Origin Besteht der Zweck darin, andere Systeme zuzulassen (in diesem Fall speziell im Internet gehostete Flash- und PDF - Inhalte). um auf Ihre Domain zuzugreifen. Die "entfernte Domäne" sind Sie, die "Quelldomäne" ist die, gegen die wir uns verteidigen.

Wenn Clients Inhalte anfordern, die in einer bestimmten Quelldomäne gehostet werden, und diese Inhalte Anforderungen an eine andere als ihre eigene Domäne richten, muss die Remotedomäne eine domänenübergreifende Richtliniendatei hosten, die den Zugriff auf die Quelldomäne gewährt, damit der Client die Inhalte fortsetzen kann Transaktion. Normalerweise wird eine Meta-Richtlinie in der Master-Richtliniendatei deklariert. Für diejenigen, die nicht in das Stammverzeichnis schreiben können, können sie jedoch auch eine Meta-Richtlinie mithilfe des HTTP-Antwortheaders X-Permitted-Cross-Domain-Policies deklarieren.

Standardmäßig werden alle domänenübergreifenden Anforderungen von der Adobe-Software blockiert, genauso wie Browser domänenübergreifende XMLHttpRequest blockieren.

Eine unerwünschte Richtliniendatei kann versehentlich oder böswillig auf Ihre Website gelangen. Der Zweck des Hinzufügens von X-Permitted-Cross-Domain-Policies In diesem Fall besteht darin, es zu überschreiben, sodass der Client weiterhin unerwünschte Anforderungen blockiert.

Microsoft Silverlight verwendet ein anderes Richtliniendateiformat, verwendet diesen Header jedoch möglicherweise weiterhin.

Wenn Sie zulassen, dass Benutzer Dateien hochladen, oder wenn Sie sich Sorgen machen, dass Eindringlinge einen anderen Fehler verwenden, um Dateien auf Ihren Server zu übertragen UND sollte auf den Inhalt Ihrer Domain nicht zugegriffen werden über andere Websites, die möglicherweise versuchen, sich als Sie auszugeben, bietet yes X-Permitted-Cross-Domain-Policies einen Sicherheitsvorteil. Der Angriff ist heutzutage weniger relevant, da jeder Benutzer moderner Software zunächst dazu gebracht werden muss, Flash- oder aktive PDF Inhalte zuzulassen.

Wenn es sich bei Ihrer Website nur um eine normale Website handelt, für deren Zugriff kein Login erforderlich ist, benötigen Sie diese nicht.

4
OrangeDog
2
Sahil Aggarwal

Ja, ich bin damit einverstanden, dass dieser Header für Flash-Player erstellt wurde und PDF nicht unbedingt Adobe-Produkte, die andere Flash-Player benötigen. Wenn Sie Ihre Website nicht zum Verteilen von Flash-Playern oder PDF-Dateien verwenden, dann Sie brauche diesen Header nicht.

0
Aayush