X-Permitted-Cross-Domain-Policies header

none

Keine Richtliniendateien sind irgendwo auf dem Zielserver erlaubt, einschließlich einer Master-Richtliniendatei.

master-only

Ermöglicht den Zugriff auf die Cross-Domain-Master-Richtliniendatei, die auf derselben Domain definiert ist.

by-content-type (nur HTTP/HTTPS)

Nur Richtliniendateien, die mit Content-Type: text/x-cross-domain-policy bedient werden, sind erlaubt.

by-ftp-filename (nur FTP)

Nur Richtliniendateien, deren Dateinamen crossdomain.xml sind (URLs, die auf /crossdomain.xml enden), sind erlaubt.

all

Alle Richtliniendateien auf dieser Zieldomain sind erlaubt.

none-this-response

Gibt an, dass das aktuelle Dokument trotz anderer Header oder seines Inhalts nicht als Richtliniendatei verwendet werden sollte. Dieser Wert ist einzigartig nur für den HTTP-Header.

Web-Clients wie Adobe Acrobat oder Apache Flex können Web-Dokumente laden, die wiederum Ressourcen von derselben oder anderen Websites laden können. Der Zugriff ist standardmäßig auf Ressourcen derselben Website beschränkt, aufgrund der Same-Origin-Policy, aber Websites mit Cross-Origin können wählen, einige oder alle ihrer Ressourcen für Clients Cross-Origin zugänglich zu machen, indem sie spezielle Dateien verwenden, die als Cross-Domain-Richtliniendateien bezeichnet werden.

Eine "Master"-Cross-Domain-Richtliniendatei kann als crossdomain.xml Datei im Stamm der Domain definiert werden, zum Beispiel: http://example.com/crossdomain.xml. Die Master-Datei definiert die Metapolitik für die gesamte Seite mittels des permitted-cross-domain-policies Attributs des <site-control> Tags. Die Metapolitik kontrolliert, ob Richtlinien zugelassen sind und die Bedingungen, unter denen die anderen "Sub" Cross-Domain-Richtliniendateien verwendet werden können. Diese anderen Richtliniendateien könnten in bestimmten Verzeichnissen erstellt werden, um den Zugriff auf die Dateien in ihrem jeweiligen Verzeichnisbaum anzugeben.

Beispielsweise ist dies die am wenigsten permissive Master-Politik-Definition, die keinen Zugriff erlaubt und die Verwendung anderer "Sub"-Richtliniendateien nicht zulässt.

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
  <site-control permitted-cross-domain-policies="none"/>
</cross-domain-policy>

Der X-Permitted-Cross-Domain-Policies Header kann eine Metapolitik für die HTTP-Antwort spezifizieren, in der er enthalten ist, oder eine Metapolitik überschreiben, die in der Master-Cross-Domain-Richtliniendatei definiert ist, falls vorhanden. Er nimmt die gleichen Werte an wie das permitted-cross-domain-policies Attribut der Datei und zusätzlich none-this-response.

Am häufigsten wird er verwendet, um jeglichen Zugriff auf die Ressourcen der Website zu verhindern, in Fällen, in denen der Entwickler keinen Zugang hat, um eine Master-Cross-Domain-Richtliniendatei im Stamm der Website zu erstellen.

Wenn Sie keine Anwendungsdaten in Clients wie Adobe Flash Player oder Adobe Acrobat (oder älteren Clients) laden müssen, sollte der Header als X-Permitted-Cross-Domain-Policies: none konfiguriert werden:

X-Permitted-Cross-Domain-Policies: none

Dokumentiert in der Adobe Cross Domain Policy File Specification.

• Cross-Origin Resource Sharing (CORS)
• Praktische Sicherheitsimplementierungsanleitungen
• HTTP Observatory Header-Testwerkzeug
• Cross Domain Configuration auf adobe.com
• X-Permitted-Cross-Domain-Policies im OWASP Secure Headers Project