安全 - 按设计 - 是位于同一HTML容器(客户端)的JavaScript和Flash应用之间的ExternalInterface API调用吗?
可以 - 通过设计 - 截获?
提示:ExternalInterface API引用(上面)读取
ExternalInterface类需要用户的Web浏览器支持 ActiveX®或某些浏览器公开的 NPRuntime API 用于插件脚本。看到 http://www.mozilla.org/projects/plugins/npruntime.html
由于
答案 0 :(得分:2)
取决于截获的意思?如果您信任正在进行ExternalInterface调用的页面/沙箱,那么它是安全的。我能想到的唯一攻击向量是黑客修改__flash__toXML javascript函数。
值得注意的另一点是ExternalInterface.call is vulnerable to XSS attacks;因此,如果参数来自用户,则必须始终对其进行消毒。