我希望允许我的用户在他们的帖子中嵌入他们自己的 Flash 动画。通常实际文件托管在一些免费图像托管网站上。除非用户单击播放按钮(这样页面加载时不会自动播放任何内容),否则我实际上不会加载闪存。我知道人们可能会在 Flash 中做出一些非常烦人的垃圾,但我找不到任何有关 Flash 应用程序可能对观看者造成的潜在严重损害的信息。
嵌入互联网上的任何 Flash 文件是否不安全?如果是这样,我怎样才能让用户嵌入无辜的动画,但仍然阻止有害的应用程序?
编辑:
据我所知,最明显的威胁是 ActionScript 将您重定向到恶意网站。
Adobe says您可以设置 allowScriptAccess=never 和 allowNetworking=none,并且 swf 不应访问其自身之外的任何内容。 这能解决我所有的问题吗?
最佳答案
Flash 采取了一些巧妙的安全措施。允许用户将 swf 上传到您的网站并嵌入它们是不安全的,您基本上是在为 XSS 攻击做好准备。
但是,允许它们进行热链接应该不是问题。 swf 将被锁定到托管它的域,并且不允许调用该空间之外的 url。
它仍然对“邪恶链接”开放(我确信有一个合适的词来形容它们),我的意思是定期链接到它试图加载的 yoursite.com/admin/deleteallpages.php ”作为“你。然而,它不能以任何方式使用这些数据,它基本上与普通链接相同,我猜现代 cms 可以免受这种类型的攻击。</p>
您可以通过在不同的子域上托管 Flash 来获得相同的保护,因为 Flash 认为这与完全不同的域相同。
关于security - 如何安全地嵌入任何 Flash 文件 (swf)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43992/