关于flash安全性的关键tips

一，crossdomain.xml配置不当导致csrf等漏洞
        我们知道，网站根目录下的控制flash访问的授权文件crossdomain.xml指明了远程flash是否允许加载当前网站的资源（如图片，网页内容，flash，cgi等），若配置不当，可能导致未授权的flash可以加载该站点的相关资源，从而可能导致CSRF攻击。
       检查的方法很简单，直接访问http://your.web,site/crossdomain.xml，查看里面的配置信息，一般如下：
<?xml version="1.0"?>
<cross-domain-policy>
      <allowe-access-from domain="*" />
</cross-domain-policy>

解决办法如下：
1，对不允许外部加载资源的网站，可以把该文件直接删除，即不授权；
2，对允许指定域名访问的，更改allow-access-from的domain属性为域名白名单，这里需要按照最小化的方式进行设置，举例如下，
  a，若只允许abc.cb.tt.com访问，则设置为：domain="abc.cb.tt.com"
  b，若只允许*.cb.tt.com下各个子域名访问，则设置为：domain="*.cb.tt.com"
  c，若只允许*.tt.com下各个子域名访问，则设置为：domain="*.tt.com"
   
二，flash标签配置不当可能导致不信任flash的XSS漏洞
         网页在引入flash的时候，会通过object/embed标签进行加载，在设置标签的时候，如果一些属性配置不当，会带来安全问问题，如flash XSS。这里几个非常关键的参数，说明如下：
 1，allowScriptAccess：是否允许flash访问浏览器脚本，如果不对不信任的flash限制，默认会允许调用浏览器脚本，产生XSS漏洞。allowScriptAccess有以下属性： 
       always：总是允许HTML通信也就是Javascript执行； 
       sameDomain：允许来自本域的flash与HTML通信； 
       never：不允许flash与页面通信。
 
 2，allowNetworking：是否允许flash访问ActionScript中的网络API，如果不对不信任的flash限制，会带来flash弹窗、CSRF等问题。
       all：允许所有功能，会带来flash弹窗危害；
       internal；可以向外发送请求/加载网页；
       none：无法进行任何网络相关动作（业务正常功能可能无法使用） 

       配置建议：
       对于不信任flash源，我们可以采取以下措施： 
       allowScriptAccess设置为never 
       allowNetworking设置为none（业务需要可以放宽为internal）