如何安全地嵌入任何闪文件(swf)?
https://stackoverflow.com/questions/43992
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我想让我的用户嵌入他们自己的动画在他们的职位。通常实际的文件是主持上一些免费的图主办的网站。我不会实际负载闪除非用户的点击按钮玩(因此没有自动上播放页载)。我知道人们可以作出一些真的很烦人的胡扯在闪光灯,但是我找不到任何有关潜在的信息 严重 损害一个闪光应用程序可能会导致给观众。
它是不安全嵌入是任何闪文件从互联网?如果是这样,我怎么可以让用户嵌入无辜的动画,但仍然保持了有害的应用程序?
编辑:
从什么我可以聚集,最明显的威胁态脚向你到恶意的网站。
Adobe 说的 你可以设定 allowScriptAccess=永远不会 和 allowNetworking=none 和swf应该没有接到任何东西之外的本身。 这会解决我所有的问题?
解决方案 5
Adobe说你可以设定 allowScriptAccess=从来没有和 allowNetworking=none和swf应该没有接到任何东西之外的本身。虽然allowNetworking只是在Flash Player9,使用户有早期版本的闪仍将容易受到一些漏洞。
其他提示
闪有一些巧妙的安全措施。允许用户传swf到你的网站和嵌入他们的不安全,基本上你自己的XSS攻击。
然而,允许他们热链接不应该是一个问题。Swf将被锁的域托管它并不允许叫的网址之外,空间。
它将仍然是开放的"邪恶的链接"(我肯定那里有一个适当的词为它们),并通过我的意思是有规则的链接yoursite.com/admin/deleteallpages.php 它试图负荷"为"。这将不但能够使用这个数据中的任何一种方式,它将基本上是相同的,因为一个正常的链接,以及我猜现代cms'被保护免受此类袭击。
你可以得到同样的保护,通过主办你的闪烁不同的子,因为闪认为,这种同样作为一个完全不同的领域。
当嵌入主权财富基金来自未知来源,也是最佳做法扔掩模的加载程序,以便载入SWF不能把过多的屏幕上的房地产于预期。
伪码要做到这一点:
var maskSpr : Sprite = new Sprite();
maskSpr.graphics.beginFill();
maskSpr.graphics.drawRect(0,0,safeWidth,safeHeight);
maskSpr.graphics.endFill();
myLdr.mask = maskSpr;
其实是有多于一个选项。
为了安全,设置allowScriptAccess=永远不会和allowNetworking=none和swf将得不到任何东西之外的本身。
注:allowNetworking只是在Flash Player9(它是建立在响应各种myspace蠕虫),所以你需要用到 SWF对象 为确保只用户的权利flash player的版本或更具有闪光装载。
如果你想使事情,如youtube视频,虽然,你不能设定allowNetworking为"无"。幸运的是,没有一个中间程度的安全这一场"内部",这可以让SWF谈谈它的托管的领域。
还注意到,你的更好没有crossdomain.xml 文件在您的网站上阅读的更多有关这些危险 在这里, 和其他地方。
这里有一些其他的站点提到的其他答复,进入更多的细节:
http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps_04.html
http://blogs.adobe.com/stateofsecurity/2007/07/how_to_restrict_swf_content_fr_1.html
作为一个 例已推的情景 如何允许闪内容从用户可能是一个安全关切。
是的,很不安全。
没有简单的方式允许它。你可以有一个域名白名单,允许YouTube,葫芦,等等。通过的,但是白名单本身就是艰苦的-你会不断更新。
