同源策略绕过,这是如何/为什么工作的?

【问题标题】:Same-origin-policy bypass, how/why does this work?同源策略绕过,这是如何/为什么工作的?
【发布时间】:2014-05-28 21:06:00
【问题描述】:

同源政策如何运作?我是不是误会了?
假设我们有一个主机“videos.test.com”
“videos.test.com/crossdomain.xml”说:

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="*.test.com" />
<allow-access-from domain="test.com" />
</cross-domain-policy>

其他主机“blabla.com”是否可以自己嵌入来自 videos.test.com 的视频?没有 iframe?

据我所知,由于政策的原因,这不应该是可能的。

但这个网站似乎绕过了这一点:
http://www.vodu.ch/file/dc/7320160c81b3ed93065dbc7e1885f242/?w=960&h=575

那么诀窍是什么,为什么会这样?

【问题讨论】:

    标签: html flash same-origin-policy


    【解决方案1】:

    是的; crossdomain.xml 允许网站告诉 Flash 绕过特定域的 SOP。

    另见CORS

    【讨论】:

    • 所以这意味着 blabla.com 应该不可能在他们的网站上嵌入来自 videos.test.com 的流,对吧?
    • 除非他们允许。
    • 好的,那么为什么这个站点:vodu.ch/file/dc/7320160c81b3ed93065dbc7e1885f242/… 可以强制我的浏览器从media-b160.firedrive.com 流式传输文件? crossdomain.xml 文件似乎不允许来自域的请求。 media-b160.firedrive.com/crossdomain.xml
    • 它使用 Java,而不是 Flash。
    • 错了,两者都用。但这并不重要。不久前,该站点仅使用 Flash。我认为这与 gkplugin 的东西有关,但它是如何以及为什么起作用的呢?
    猜你喜欢
    • 2014-03-17
    • 2012-12-30
    • 2011-02-14
    • 2010-11-13
    • 2010-12-22
    • 2015-07-11
    • 2012-07-01
    • 2011-05-28
    • 2013-09-06
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode