クロスドメインポリシーファイルはすべてのWebアプリケーションで必要ですか？

短い回答：1.）いいえ、要件はありません。2.）はい。

SilverlightFoxは、crossdomain.xmlがWebアプリケーションの要件ではないという点で正しいです。アドビのWebサイトによれば、crossdomain.xmlはXMLファイル形式のポリシーであり、「Adobe Flash PlayerやAdobe AcrobatなどのWebクライアント（必ずしもこれらに限定されない）、ドメイン間でデータを処理する権限を付与する」[1 ]。

つまり、サーバー自体ではなく、クライアントの動作に関連する保護を対象としていますが、認証されたクライアントを介して第三者の悪意のあるユーザーがWebサイトを攻撃することを望まないため、クライアントのセキュリティは重要です。

同様に、オフチャンスフラッシュを使用するか、他のタイプの攻撃を介してサイトにアップロードするすべてのWebサーバーの配置に1つを設定することは、組織のポリシーである可能性がありますが、純粋にテクノロジーの観点からは、保護する必要はありませんサーバー自体。

Crossdomain.xmlの問題に関する本当のセキュリティの問題は、フラッシュクライアントが悪意のあるフラッシュサーバーから悪意のあるコマンドを受信したときに、クライアントがクライアントの資格情報を使用してサーバーからリクエストを送信することです。この場合、誤ってcrosssdomain.xmlファイルなどの誤って構成された場合

これにより、悪意のあるサーバーからのコマンドが、サイトに接続された認証済みクライアントとして実行され、攻撃者がそのユーザーセッションを介してサーバーにアクセスできるようになります。機密データがある場合、これは問題になります。

これから保護するには、正しく構成されたcrossdomain.xmlを使用して、これらのアクションをドメインまたは特定のホストに制限することが非常に役立ちます。

次のWebサイトでこの問題について詳しく説明していますが、質問への簡単な回答として、はい、このセキュリティ面での価値があります。

http://gursevkalra.blogspot.com/2013/08/bypassing-same-Origin-policy-with-flash.html

クロスドメインポリシーファイルの仕様：

http://www.Adobe.com/devnet-docs/acrobatetk/tools/AppSec/CrossDomain_PolicyFile_Specification.pdf

[1] crossdomain.xmlポリシーファイルの設定に関するアドビの引用記事：

http://www.Adobe.com/devnet/Adobe-media-server/articles/cross-domain-xml-for-streaming.html

いいえ、crossdomain.xmlはFlashのデフォルトのクロスドメインポリシーを緩和します。

ファイルがないと、デフォルトの制限が適用されます。