网站地图    收藏   

主页 > 后端 > 网站安全 >

flash给用户传入执行函数的安全问题 - 网站安全

来源:自学PHP网    时间:2015-04-17 11:59 作者: 阅读:

[导读] 在html插入一段flash时,由外部传入一个生成后的回调xxx.swf?init=js.initflash里面这样写var HANDLE_INIT:String = getFlashVar(#39;init#39;);......public static function handleInit(arg:*=null):v......

在html插入一段flash时,由外部传入一个生成后的回调
 
xxx.swf?init=js.init
 
flash里面这样写
 
var HANDLE_INIT:String = getFlashVar('init');
 
......
 
 
public static function handleInit(arg:*=null):void
 
{
 
ExternalInterface.call(HANDLE_INIT, arg);
 
}
 
 
 
 
flash生成后调用 handleInit 
 
这时,如果传入的是
 
xxx.swf?init=alert(1)
 
便会弹出消息框,显示1,看,被XSS了。
 
所以flash调用外部js时,最好是调用固定的函数名。不要外部传。
 
 
 
另外,flash不用插入到html里,可以直接在浏览器里打开,所以不能说可以保证传入的数据会是正确
 
如:别人直接写了一个链接  http://www.2cto.com /xxx.swf?init=alert(1) ,给用户,也会xss的
 

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论