专家深入解析跨站请求伪造漏洞（上）

核心提示： 如果使用恰当的话，Adobe的跨域策略能够比同源策略（除非在crossdomain.xml中找到匹配，专家深入解析跨站请求伪造漏洞（上）(9)，否则该请求无法启动）更好地防御CSRF攻击，并且具有更高的灵活性（如果目标站点信任发起方站点即源站点的话，由于该cookie是唯一的，所以登广告者

如果使用恰当的话，Adobe的跨域策略能够比同源策略（除非在crossdomain.xml中找到匹配，否则该请求无法启动）更好地防御CSRF攻击，并且具有更高的灵活性（如果目标站点信任发起方站点即源站点的话，则允许跨域通信）。 然而，跨域策略经常被不正确使用，比如将一个目标站点放到“accept all”的条款中，这会允许第三方从任何站点（不管这个站点是善意的还是恶意的）访问它。甚至Adobe的联盟站点crossdomainxml.org的crossdomain.xml文件也出现了不适当甚至极度危险的用法：域名crossdomainxml.org被注册到TPowerSDK Software 有限公司的heodore E Patrick名下，该公司在其LinkedIn profile（http://www.linkedin.com/in/tedpatrick）中写道他们是Adobe Systems的Flex的技术布道者。 这个站点提供了“accept all ”跨域策略文件的例子，使用该文件的危险性不言自明。

安全研究人员曾经对世界500强的网站进行了分析，其中发现有143个站点使用了crossdomain.xml策略文件。而在这143个站点中，又有47个站点对来自第三方站点的链接完全接受，这可能导致CSRF漏洞。Adobe的跨域策略可能是有效和安全的，但前提是要小心使用。如果在策略文件中使用了“accept all”的话，结果是非常严重的。

八、P3P与跨站请求伪造

Cookie可用于在站点之间跟踪用户，举例来说，如果登广告者在他的服务器上寄放了一张图片（即广告），而他的服务器将被大量广告发行站点所引用。当该图像被显示时，登广告者可以设置一个cookie，这样，当同一个用户访问不同的广告发布站点时，登广告者也能认出他是同一个人。换句话说，当该用户访问一个广告发布者的站点并加载登广告者的图像时，该用户的cookie会发回给登广告者，由于该cookie是唯一的，所以登广告者能够识别该用户。登广告者可以使用这些Cookie来收集有关该用户上网的习惯的数据。