【原理扫描】不安全的crossdomain.xml文件和CORS(跨站资源共享)原始验证失败验证与彻底方案

不安全的crossdomain.xml文件【原理扫描】
CORS(跨站资源共享)原始验证失败【原理扫描】

吐槽一下

该漏扫是通过内网漏扫部署服务进行扫描内网minio端口探测到该minio配置不当造成的威胁。

通过nginx配置无效，且必须从MINIO本身解决；MINIO配置存在兼容性问题需多次尝试，研究。

设置corssdimain.xml配置文件设置指定域名可解决不安全的crossdomain.xml文件

访问路径：
http://192.168.3.239:3460/crossdomain.xml

请求响应：

CORS跨域资源共享漏洞解决

需配置config.json文件，设置指定限定域名

非法Origin访问

[root@localhost bin]# curl -H "Origin: http://cp.com" -I http://localhost:3460

合法Origin访问
[root@localhost bin]# curl -H "Origin: http://xxxa.com" -I http://localhost:3460

业务正常

 【问题解决思路】

问题一：MINIO升级是否解决不了， MINIO 2025版本 RELEASE.2025-04-22T22-12-26Z，根据桶规则设置跨域则不支持，2025版本社区版不支持，收费版本可设置CORS 此结论在github issus中已有结论。

解决思路就是全局策略设置cros即可！

有需要可评论区留言