Міждоменна атака виникає, коли ненадійні домени налаштовано у файлах політики, що дають доступ до вмісту вихідного домену. Це надає зловмисникам необмежений доступ до конфіденційної інформації та послуг, до яких має доступ автентифікований користувач.

Міждоменна політика – це просто визначений користувачем набір дозволених правил доступу до даних, інкапсульованих у кросдомен. файл xml. Він життєздатний лише на серверах, які спілкуються через HTTP, HTTPS або FTP. Файл міждоменної політики — це XML-документ, який надає веб-клієнту дозвіл на обробку даних в одному чи кількох доменах.

Файл міждоменної політики визначає дозволи веб-клієнта, наприклад Java, Adobe Flash, Adobe Reader тощо. використовувати для доступу до даних у різних доменах.

Неправильна конфігурація CORS на веб-сервері дозволяє міждоменні запити на читання з довільних сторонніх доменів, використовуючи неавтентифіковані API у цьому домені. Однак реалізації веб-браузера не дозволяють довільним третім особам читати відповідь із автентифікованих API.

Заголовок X-Permitted-Cross-Domain-Policies — це заголовок відповіді HTTP, який дозволяє контролювати поведінку файлів міждомених політик у IIS. Установивши цей заголовок, ви можете визначити, як агенти користувача (браузери) мають обробляти файли міждомених політик під час доступу до вашого веб-сайту.

Усі продукти та послуги існують в одному домені, звідки й назва стратегії. Багатодоменна стратегія, по суті, є прямою протилежністю. Різні продукти розкидані по різних доменах, кожен із яких має веб-сайт, присвячений цьому.