Silverlight クロスドメインポリシーについて説明していきます。
■概要
Microsoft Silverlight は、かつてFlashの競合として Web ブラウザでリッチコンテンツを動かすためのプラグイン技術でした。
Silverlight クロスドメインポリシーは、通常は配置されたドメイン内のリソースしかアクセスできませんが、クロスドメインポリシーを設定することで他ドメインのリソースへアクセスできるようになります。
■想定される被害
Silverlight クロスドメインポリシーによって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。
・<domain uri=”*”/> などで全ドメインを許可している場合、任意サイトからのアクセス受入
・認証済みセッションでの API レスポンス(個人情報や内部情報)の漏えい
■対策
Silverlight クロスドメインポリシーの対策として挙げられるものは以下のようなものとなります。
・ClientAccessPolicy.xml / crossdomain.xml では、ワイルドカード(*)を使わず、必要なドメインのみ指定し、許可ドメインを最小化する。
・http-request-headers 属性で必要最小限のヘッダのみ許可する。
・既に Silverlight はサポート終了(2021 年に正式終了済み)しているため、利用していないならポリシーファイル自体を削除する。