Der HTTP-Header X-Permitted-Cross-Domain-Policies schützt vor unerwünschten Einbetten der eigenen Webseiteninhalte in PDF-Dokumente und Adobe-Flash-Anwendungen auf anderen Webseiten.
Einbetten verbieten
Der einfachste Anwendungsfall verbietet jegliches Einbetten außerhalb der eigenen Webseite:
X-Permitted-Cross-Domain-Policies: none
Einbetten auf bestimmten Seiten zulassen
Es kann auf ein Cross-Domain-Policy-File verwiesen werden, die bestimmten Seiten das Einbetten ausdrücklich erlaubt. Diese Datei wird als crossdomain.xml auf dem eigenen Server hinterlegt. Mit dem Header-Wert master-only wird bestimmt, dass ausschließlich diese Datei zur Zugriffssteuerung berücksichtigt wird:
X-Permitted-Cross-Domain-Policies: master-only
Der bereits eingangs genannte Wert none verhindert das Einbetten, selbst wenn eine Policy-Datei vorhanden ist. Dies schützt vor dem Fall, dass beispielsweise durch einen Dateiupload eine unerwünschte Policy hinterlegt wird. In diesem Fall hat der obige Header Vorrang.
Beispiel für den Inhalt einer Cross-Domain-Policy-Datei:
<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM
"http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<site-control permitted-cross-domain-policies="master-only"/>
<allow-access-from domain="*.example.com"/>
<allow-access-from domain="www.example.com"/>
<allow-http-request-headers-from domain="*.adobe.com" headers="SOAPAction"/>
</cross-domain-policy>
