플래시 파일(swf)을 안전하게 삽입하는 방법은 무엇입니까?

StackOverflow https://stackoverflow.com/questions/43992

  •  09-06-2019
  •  | 
  •  

문제

사용자가 자신의 게시물에 자신의 Flash 애니메이션을 삽입할 수 있도록 허용하고 싶습니다.일반적으로 실제 파일은 일부 무료 이미지 호스팅 사이트에서 호스팅됩니다.사용자가 재생 버튼을 클릭하지 않는 한 실제로 플래시를 로드하지 않습니다(페이지 로드 시 아무것도 자동 재생되지 않도록).사람들이 플래시로 정말 짜증나는 일을 할 수 있다는 건 알지만 잠재력에 대한 정보는 찾을 수 없습니다. 심각한 플래시 앱이 시청자에게 피해를 줄 수 있습니다.

인터넷에 있는 플래시 파일을 삽입하는 것이 안전하지 않습니까?그렇다면 어떻게 사용자가 무고한 애니메이션을 포함하게 하면서 유해한 앱을 차단할 수 있습니까?

편집하다:

제가 수집한 바에 따르면 가장 확실한 위협은 액션스크립트가 사용자를 악성 사이트로 리디렉션하는 것입니다.

어도비 벽돌 라고 당신은 설정할 수 있습니다 AllowScriptAccess=절대 안함 그리고 허용네트워킹=없음 SWF는 자신 외부의 어떤 것에도 액세스할 수 없어야 합니다. 이것이 내 문제를 모두 해결할 수 있을까요?

도움이 되었습니까?

해결책 5

Adobe에서는 설정할 수 있다고 말합니다. 허용스크립트액세스=절대로 그리고 허용네트워킹=none이며 swf는 자체 외부의 어떤 항목에도 액세스할 수 없어야 합니다.AllowNetworking은 Flash Player 9에만 있지만 이전 버전의 Flash를 사용하는 사용자는 여전히 일부 악용에 취약할 수 있습니다.

더욱 안전한 SWF 웹 애플리케이션 만들기:HTML 코드 내의 보안 제어

HTML에서 SWF 콘텐츠를 제한하는 방법

다른 팁

Flash에는 몇 가지 깔끔한 보안 조치가 마련되어 있습니다.사용자가 귀하의 사이트에 SWF를 업로드하도록 허용하고 이를 삽입하는 것은 안전하지 않습니다. 기본적으로 XSS 공격에 대비하는 것입니다.

그러나 핫링크를 허용하는 것은 문제가 되지 않습니다.SWF는 이를 호스팅하는 도메인에 잠기며 해당 공간 외부에서 URL을 호출하는 것이 허용되지 않습니다.

그것은 여전히 ​​"사악한 링크"에 열려 있을 것입니다(나는 그에 대한 적절한 단어가 있을 것이라고 확신합니다). 이는 "당신처럼" 로드하려고 시도하는 yoursite.com/admin/deleteallpages.php에 대한 정기적인 링크를 의미합니다. .그러나 이 데이터를 어떤 방식으로든 사용할 수는 없으며 기본적으로 일반 링크와 동일하며 최신 cms는 이러한 유형의 공격으로부터 보호된다고 생각합니다.

플래시는 이를 완전히 다른 도메인과 동일하게 간주하므로 다른 하위 도메인에서 플래시를 호스팅하여 동일한 보호를 받을 수 있습니다.

알 수 없는 소스의 SWF를 포함하는 경우 로드된 SWF가 예상보다 더 많은 화면 공간을 차지하지 않도록 로더에 마스크를 적용하는 것이 가장 좋습니다.

이를 수행하는 의사 코드:

var maskSpr : Sprite = new Sprite();
maskSpr.graphics.beginFill();
maskSpr.graphics.drawRect(0,0,safeWidth,safeHeight);
maskSpr.graphics.endFill();
myLdr.mask = maskSpr;

실제로 하나 이상의 옵션이 있습니다.

완전히 안전하려면,allowScriptAccess=never 및allowNetworking=none을 설정하십시오. 그러면 swf는 자체 외부의 어떤 것에도 액세스할 수 없습니다.

메모:허용네트워킹은 Flash Player 9(다양한 myspace 웜에 대한 응답으로 생성됨)에만 있으므로 다음을 사용해야 합니다. SWF 객체 올바른 플래시 플레이어 버전 이상의 사용자만 플래시를 로드할 수 있도록 합니다.

하지만 YouTube 비디오와 같은 기능을 활성화하려면 AllowNetworking을 "none"으로 설정할 수 없습니다.다행스럽게도 이 필드에는 SWF가 호스팅된 도메인과 통신할 수 있는 "내부"라는 중간 수준의 보안이 있습니다.

또한 사이트에 crossdomain.xml 파일을 두지 않는 것이 좋습니다. 이러한 위험에 대해 자세히 알아보세요. 여기 그리고 다른 장소.

더 자세히 설명하는 다른 답변에서 언급된 다른 사이트는 다음과 같습니다.

http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps_04.html

http://blogs.adobe.com/stateofsecurity/2007/07/how_to_restrict_swf_content_fr_1.html

로서 예 Drupal에는 시나리오가 있습니다 사용자의 플래시 콘텐츠를 허용하는 것이 어떻게 보안 문제가 될 수 있는지 설명합니다.

예, 안전하지 않습니다.

그것을 허용하는 쉬운 방법은 없습니다.YouTube, Hulu 등을 허용하는 도메인 허용 목록이 있을 수 있습니다.하지만 화이트리스트 작성은 본질적으로 힘든 일입니다. 지속적으로 업데이트해야 하기 때문입니다.

라이센스 : CC-BY-SA ~와 함께 속성
제휴하지 않습니다 StackOverflow
scroll top