我目前运行了几个Wordpress MU安装。
我的用户要求发布视频(不仅仅是Youtube,而是来自我们自己的Flash Media Server)。
默认情况下,Wordpress会删除<embed>个标记。
现在,我永远不会允许用户在帖子中包含PHP或JavaScript,我是否需要担心Flash漏洞?
嵌入标签有多危险,我应该担心给他们这个能力吗?
由于
答案 0 :(得分:4)
一般来说,Flash在防止像密钥陷阱等攻击方面已经走了很长的路。
你可以做的最安全的事情就是混淆嵌入代码并让它们只提供一个SWF URL,这样他们就无法在嵌入对象中提取任何奇特的东西,比如允许交叉编写脚本等......
特别是,你想要注意潜在的黑客试图通过使用AS3的ExternalInterface.call()函数从你的博客JS文件调用JS函数这样的东西......这肯定是坏事。但是我认为你可以使用嵌入技术来关闭它。
答案 1 :(得分:3)
确保在object / embed标记中设置allowScriptAccess="never"以拒绝scripting powers第三方SWF。
答案 2 :(得分:0)
我建议Flash只与其呈现的内容一样安全;包括Youtube视频在内并不比在Youtube网站上访问同一视频更危险。
答案 3 :(得分:0)
Flash非常安全。许多大大小小的网站现在都在使用它10年了。当然,在每个软件中都可以找到漏洞。没有网络系统是100%安全的。很多人都在使用闪存,许多开发人员正在努力使其安全。如果你真的敏感信息,首先不要把它们放在网上。安全性更多地取决于编写代码片段的开发人员而不是代码类型(actionscript,javascript,php或java)。语言允许错误,开发人员有时会出错。
我的建议是在需要时使用它。