我不确定我是否正确理解 crossdomain.xml 的用法。我是，使用 Uploadify (2.1.4) — 基于 Flash 的文件上传器。我需要将文件从 Domain A 上传到 Domain B 。 Uploadify 由 Domain A 托管和提供。为了允许 Uploadify flash 插件通信并上传到 Domain B ，我必须在 crossdomain.xml 上托管一个 Domain B 文件。因此，如果 Uploadify 在 crossdomain.xml 上发现 Domain B 文件在其白名单中包含 Domain A，则将处理上传到 Domain B 的文件。到目前为止，一切听起来都不错。

但是，我不明白是什么阻止了攻击者在他的计算机上安装的本地网站上构建克隆上传器，然后修改 etc/hosts 以使本地安装使用 Domain A 作为域名。现在，攻击者可以将文件上传到 Domain B ，伪装成 Domain A 并且 Domain B 会坦率地接受上传，因为它在 Domain A 的白名单中列出了 crossdomain.xml。
crossdomain.xml 的目的是什么，如果它可以像上面一样轻松绕过？我对此的理解可能完全错误。洞察力会有所帮助。

crossdomain.xml 不能代替登录系统。它只是告诉 Flash:“嘿，你可以从我的服务器读取(和使用)数据”。

crossdomain.xml 是 真的 很容易绕过，所以它不能被视为网站的适当安全功能。

因此，总而言之，如果您想确保安全，只需在您的“DomainB”上实现登录功能。