首页 > 经验 > 关键词 > Flash配置不当最新资讯 > 正文

网站检测提示的“Flash配置不当”是什么漏洞?

2016-06-08 09:50 · 稿源:羽度非凡的网站

360站长平台中有一个工具是“官网直达”,通过申请可以使你的网站在360搜索结果中加上“官网”字样的标识,百度也有这样的工具,不过是收费的,所以趁着360还没收费,有兴趣的朋友可以为自己的网站申请一下,申请这项服务有三个基本要求:ICP备案、符合法律法规、网站安全检测。前两项要求基本大部分网站都符合要求,我今天就卡在了第三项网站安全检测上,无法通过审核。

我的网站使用的是Discuz论坛程序,360网站安全检测的评分是85分,出现的唯一一个警告信息是“Flash配置不当”的漏洞,查看了一下360官方给出的此漏洞危害:

可被用来进行跨域访问,可能会导致“跨站点伪造请求”或“跨站点跟踪”(“跨站点脚本编制”的变体)之类的攻击,从而导致其它用户的信息被非法读取。

这个漏洞的解决方法很简单——调整Flash跨域安全策略,Flash跨域策略文件是crossdomain.xml,如果是Discuz程序的话,这个文件就在Discuz的根目录中,我们只需要将这个文件用记事本打开,将domain="*"中的"*"修改为你的网站域名即可,域名前不要加http://。

解决方法就是这么简单,如果你只是为了解决这个警告信息的话,到这里就可以不用再往下看了,因为问题已经解决了,但如果你对网络技术感兴趣的话,可以继续往下面看。因为我觉得还是有必要和各位网络技术爱好者介绍一下crossdomain.xml这个策略文件。

以Discuz论坛程序的crossdomain.xml文件为例,我们看到其中有四行代码:

1.<?xml version="1.0"?>

2.<cross-domain-policy>

3.  <allow-access-from domain="*" />

4.</cross-domain-policy>

为了方便介绍,我在每句代码前面加了序号,第一句是最简单的,首先声明xml版本,第二句和第四句是一个完整的开合标签,稍微有点HTML基础的朋友都清楚这一点。cross-domain-policy是跨域策略中必须的一个节点,也是这个文件中固定的格式,通过这三个英文单词的意思我们也可以理解cross-domain-policy的意思,其中cross domain可以理解为跨域,policy在这里是策略的意思。整个文件中最重要的策略属性就是第三句,cross-domain-policy属于策略文件中的根节点,下面第三句allow-access-from属于子节点,当然子节点不是只有allow-access-from这一个,除此之外还包括site-control、allow-access-from-identity、allow-http-request-headers-from这三个子节点,也就是说cross-domain-policy下面的子节点只能是上面提到的这四个,没有其他的子节点。

cross-domain-policy是根节点,不能赋予任何属性,但是子节点是可以赋予属性的,例如我们上面例子中的<allow-access-from domain="*" />,其中的domain就是allow-access-from的属性之一,只有domain中指定的域才能通过Flash读取域中的信息和内容,例如我们案例中domain的值是*,就代表所有的域都有权限通过Flash读取我们网站所在域的内容,因此就有可能被别人跨域访问并获取我们网站的用户信息等敏感内容,因此我们在上面的解决方法中,也是将*代替为我们自己的域名,这样只有我们自己的域名所在域才有权限通过Flash访问本域的内容。

  • 相关推荐
  • 大家在看
  • 如何将访客转化为潜在客户?这个8个网站优化策略了解下

    你是否已经将自己的网站优化到最佳状态了呢?通过优化来产生潜在客户是转化网站已经获得的流量的最好方法之一。然而,如果你认为在网站的主页上添加几个“点击这里”的CTA策略(注:Callto Action,行动呼吁),就能获取更多的潜在客户,很遗憾的说,这个想法大错特错。

  • 360全资收购企业级协同通讯平台厂商织语CCwork

    今日, 360 集团正式宣布全资收购企业级协同通讯平台厂商织语CCwork。

    360
  • 杀死 Flash

    目前,Adobe 公司已经宣布:2020 年 12 月 31 日,今年的最后一天,将是其旗下产品 Flash Player 生命终结之日,也就是 End-Of-Life Date。

  • 360金融推出个人信用分"360分" 将与旗下生态圈打通

    近日, 360 金融正式推出个人信用分 360 分,此功能已在 360 借条APP上线。用户可以登陆 360 借条APP,在首页“更多”点击“ 360 分”查询自己的信用分值。

  • 继芝麻信用和微信支付分之后 360金融也推出信用分“360分”

    【TechWeb】6月22日消息,近日,360金融正式推出个人信用分360分,此功能已在360借条APP上线。据悉,这是继蚂蚁芝麻信用分和腾讯微信支付分之后,国内互联网企业+银行综合体建立的第三个信用分体系。目前,用户可以登陆360借条APP,在首页“更多”点击“360分”查询自己的信用分值。据介绍,360分根据用户的信用历史、行为偏好、履约能力、身份特质和人脉关系五大维度评估,分数区间为0-900分,丰富的履历记录将有助获得更高的360

  • Grab因疫情宣布裁员360人,曾获得软银集团投资

    6月16日消息,东南亚打车软件Grab宣布将裁员360人,占目前公司总员工数量的5%,本次裁员的目的是减少新冠疫情期间的支出对公司造成的财务压力影响。

  • Flash今年底退出历史舞台!Adobe发布Flash Player安全更新

    两年前,Adobe就已经宣布将会放弃Flash,最迟在2020年底全部退役。虽说即将放弃,但是Adobe还是推出了新的更新,而今天他们就发布了Flash Player 32.0.0.371版本的安全更新。从更新上来看,

  • 360OS率先落地工业物联网“安全”场景

    【TechWeb】物联网爆发式增长的背后,正在汇聚新一轮网络安全挑战:安全漏洞的高增长率以及越来越多的攻击媒介,增加了更高防护难度。日前,360OS与蘑菇物联携手,将360OS的安全审计、风险感知、应急响应等安全解决方案首次应用于空压机垂直细分行业。此举标志着360OS的安全方案在工业物联网赛道上的创新应用,也为产业物联网行业合作伙伴业务布局建立了安全生态的雏形。当前,产业物联网新市场呈爆发式增长,为行业多结构布局带?

  • 华兴资本重申360金融购买评级为买入

    【TechWeb】6月9日消息,日前,360金融重要关联方360集团宣布入股天津金城银行,成为金城银行第一大股东。对此,华兴资本近日发布报告称,360集团入股金城银行将引领360金融构建更强大的生态系统,并延伸出更多商业机会。华兴资本表示,紧密的银行合作伙伴关系将强化360金融在产品、资金与风险上的优势,并重申360金融购买评级为买入。华兴资本指出,利用银行牌照,360集团与360金融打造的金融科技生态将与蚂蚁金服与腾讯的模式相

  • 阿里云数据中台全新推出企业智能用户增长平台Quick Audience

    在刚刚过去的 2020 阿里云线上峰会上,阿里巴巴集团副总裁、数据技术及产品部负责人朋新宇重磅发布了阿里云数据中台“2+2”核心产品矩阵,其中全新亮相的企业智能用户增长平台Quick Audience受到广泛关注。朋新宇介绍,Quick Audience定位于智能用户增长,能够帮助企业实现基于消费者资产管理、运营层面的“全方位洞察、多渠道触达”增长闭环。 7 天新设500+粉丝群 红蜻蜓实现日均销售破百万随着数字经济的进一步发展,越来越多的?

  • 因为不当言论,解说雨童道歉,将不再上《饭堂》节目

    斗玩网原创:LPL联赛有一个很著名的节目,叫做《饭堂周末夜》,在这个节目中解说嘉宾将一改在比赛时的正经风格,转而以比较轻松、幽默的方式来畅谈本周内赛场上出现的“下饭”操作以及场内外其他有趣的话题。参加的嘉宾们也一般都比较配合,会更随性的发挥自己对某些战队、选手的看法。不过这个节目也有一定的风险,就是说的太过头可能会被粉丝们喷口水。

  • Adobe回应终止支持flash:中国大陆地区flash将继续发行维护

    昨日晚间,针对“Adobe终止支持flash”的报道,Adobe官方微博回应称,重橙网络是Adobe Flash Player在中国大陆地区的官方独家发行合作伙伴。为支持中国大陆地区市场特有的发行渠道、用户习惯和企业、开发者和游戏社区,Adobe将在2020年后继续与重橙网络合作并支持其在中国大陆地区对Flash Player的独家发行与维护。该合作仅限中国大陆地区。

  • 360周鸿祎:新基建时代网络安全是底座

    【TechWeb】6月23日消息,第四届世界智能大会今天开幕,360集团董事长兼CEO周鸿祎出席大会,并发表《新基建需要同步建设安全基建》的主题演讲。周鸿祎认为新基建的本质是数字化基建,整个世界充分数字化后,将出现“软件定义世界、万物皆可互联、数据驱动一切”的特点。当一切都建立在软件上,如果网络安全得不到保障,新基建将是“裸奔”。当虚拟世界和物理世界打通,所有虚拟世界的攻击都会导致物理世界的伤害。在周鸿祎看来,?

  • 360大病筹联合明星爱心团发起破冰行动 为渐冻人“解冻”

    6 月 21 日是世界“渐冻人日”,各地将举行各类认识运动神经元疾病的相关活动,以引起世人对这种可怕疾病的重视。在这个特殊的日子里,网络大病救助平台 360 大病筹将联合众明星发起破冰行动,希望通过明星发起人唤起公众对于渐冻人症这一疾病的关注,让更多的渐冻人更有尊严、更有质量地生存。目前加入破冰行动的有黄奕、胡兵、温岚、黑泽、古子成,后续也期待更多明星加入进来。 几年前,一场冰桶挑战让渐冻人走进大家的视野。?

  • 360保险唐紫春:以科技构建保险生态 实现人人有保可依

    随着技术渗透和模式变革在保险产业链的深化,我国保险行业已全面转入“科技赋能”。日新月异的技术不仅让行业实现快速发展,也让保险科技拥有了极大的想象空间。近日,互联网保险平台 360 保险就在其新战略暨新产品发布会上,明确了“科技,让保险更简单”的战略主张。 360 保险创始人唐紫春表示:“通过科技化的能力服务最广泛的人群,让人人有保可依是 360 保险的愿景,希望 360 保险能够成为每个家庭抵御风险的首选保险科技平?

  • 世界渐冻人日 360大病筹联合明星爱心团为渐冻人“破冰”

    在 6 月 21 日第 20 个世界渐冻人日,网络大病救助平台 360 大病筹携手黄奕、胡兵、温岚、黑泽、古子成等明星爱心团,联合发起破冰行动,呼吁给予渐冻人症患者更多关注和帮扶救助,提升他们的生活质量,同时加强大众自我健康保护的意识以及对渐冻人症的预防。此外, 360 大病筹还联合健康管理平台善诊提供了 1 万个免费体检名额,一同号召大众关注“渐冻人症”。(图: 360 大病筹联合明星爱心团发起“破冰行动”) “渐冻人症”?

  • 软银再遭打击:投资的东南亚网约车Grab裁员360人

    东南亚网约车巨头Grab今天宣布,将裁员360人,略低于员工总量的5%。目前,Grab正削减支出来应对经济衰退以及业务在新冠肺炎疫情后缓慢复苏。Grab CEO陈炳耀(Anthony Tan)表示,新冠肺炎对企业和经济产生了广泛影响,公司正采取措施适应这一挑战。除了裁员,Grab还计划削减部分非核心项目,合并企业职能,把一些员工重新分配到更新的业务中,例如外卖。Grab获得了软银集团的投资,

  • 360收购数据安全公司瀚思科技 具体金额不详

    今日360宣布全资收购瀚思科技,具体金额不详。本次交易由红华资本担任独家战略投资和财务顾问。瀚思科技是一家大数据安全分析公司,成立于2014年,还是全球网络安全500强、中国网络安全50强,也是唯一进入 Gartner 2020 SIEM全球魔力象限(SIEM是全球公认的安全对抗战略制高点和政企安门户级产品)的中国公司,其他入选的厂商皆来自美国。瀚思科技CEO高瀚昭谈到:“360+瀚思的结合,不是简单体量和能力的

  • 360成立三大专委会 强调人才培养的“精耕细作”

    6月12日消息,知名科技商业观察家金错刀在微博发文称,360将进行人才战略升级,首次围绕公司核心业务,成立集团安全专业委员会、互联网专业委员会、硬件专业委员会。针对此事,TechWeb第一时间向360集团求证,对方表示此事属实,并称此次人才战略升级是一个全新的起点。设立专委会,意在进一步加强专业人才培养与队伍建设,倡导并落地“专家培养专家”理念,从而打造出一支既能紧跟行业趋势、又能落地执行的专业精英队

  • 融360|简普科技(NYSE:JT)持续赋能金融机构 携手共建良好信用生态

    建设现代信用体系是实现经济高质量发展的重要保障,是国家治理体系和治理能力现代化的重要内容。近年来,党中央国务院及有关部门大力推进社会信用体系建设,意在不断完善现代信用体系。5月18日,《中共中央 国务院关于新时代加快完善社会主义市场经济体制的意见》(以下简称《意见》)公布。《意见》提出,构建适应高质量发展要求的社会信用体系和新型监管机制。此举再次表明,在目前经济转型的重要战略机遇期,推动我国经济高质量发展,健全

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天