检测到目标网站X-Permitted-Cross-Domain-Policies响应头缺失

漏洞报告：

检测到目标网站X-Permitted-Cross-Domain-Policies响应头缺失。

漏洞描述：

Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies，这将导致浏览器提供的安全特性失效。

当一些在线的 Web Flash 需要加载其他域的内容时，很多 Web 会通过设置一个 crossdomain.xml 文件的方式来控制其跨域方式。

很有可能有些开发者并没有修改 crossdomain.xml 文件的权限，但是又有和跨域的 Flash 共享数据的需求，这时候可以通过设置 X-Permitted-Cross-Domain-Policies 头的方式来替代 crossdomain.xml 文件，其可选的值有： none、master-only、by-content-type、by-ftp-filename、all。

漏洞危害： 

Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies，这将导致浏览器提供的安全特性失效，更容易遭受 Web 前端黑客攻击的影响。

解决办法：

（1）修改服务端程序，给 HTTP 响应头加上 X-Permitted-Cross-Domain-Policies

【a】如果是 java 服务端，可以使用如下方式添加 HTTP 响应头：

response.setHeader("X-Permitted-Cross-Domain-Policies", "value")

【b】如果是 php 服务端，可以使用如下方式添加 HTTP 响应头：

header("X-Permitted-Cross-Domain-Policies: value")

【c】如果是 asp 服务端，可以使用如下方式添加 HTTP 响应头：

Response.AddHeader "X-Permitted-Cross-Domain-Policies", "value"

【d】如果是 python django 服务端，可以使用如下方式添加 HTTP 响应头：

response = HttpResponse() response["X-Permitted-Cross-Domain-Policies"] = "value"

【e】如果是 python flask 服务端，可以使用如下方式添加 HTTP 响应头：

response = make_response() response.headers["X-Permitted-Cross-Domain-Policies"] = "value"； 

（2）修改负载均衡或反向代理服务器，给 HTTP 响应头加上 X-Permitted-Cross-Domain-Policies

【a】如果使用 Nginx、Tengine、Openresty 等作为代理服务器，在配置文件中写入如下内容即可添加 HTTP 响应头：

add_header X-Permitted-Cross-Domain-Policies value;

【b】如果使用 Apache 作为代理服务器，在配置文件中写入如下内容即可添加 HTTP 响应头：

Header add X-Permitted-Cross-Domain-Policies "value"。

实际操作如下：

（1）如果是iis环境，在网站根目录新建web.config配置文件，并在文件中加入以下代码：

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <!--检测到目标X-Permitted-Cross-Domain-Policies响应头缺失-->
                <add name="X-Permitted-Cross-Domain-Policies" value="master-only" />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration>

（2）如果是Apache环境，在网站根目录新建.htaccess配置文件，并在文件中加入以下代码：

<IfModule mod_headers.c>
  Header set X-Permitted-Cross-Domain-Policies master-only
</IfModule>

如果在.htaccess中有其他伪静态规则，在放在伪静态规则前面即可，如下所示：

<IfModule mod_headers.c>
  Header set X-Permitted-Cross-Domain-Policies master-only
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^article-([0-9]+)-([0-9]+)-([0-9]+).html index.php?m=content&c=index&a=show&catid=$1&id=$2&page=$3
RewriteRule ^category-([0-9]+)-([0-9]+).html index.php?m=content&c=index&a=lists&catid=$1&page=$2
</IfModule>