目前,我允许用户将application / x-shockwave-flash对象添加到我网站的个人资料中。我只过滤了网址,内容类型设置为“application / x-shockwave-flash”
允许我的用户链接到远程Flash /视频文件是否有任何漏洞?
答案 0 :(得分:0)
由于用户生成的Flash内容将托管在其他域上,因此它将在Flash播放器中进行沙盒处理,并且无法访问您的域上的任何关键内容。
答案 1 :(得分:0)
原则上应该是安全的,假设用户只指定一个文件(他们不编写嵌入代码),并且他们无法将文件上传到您的服务器。
您可能需要在嵌入SWF的嵌入标记中使用allowNetworking和allowScriptAccess参数,以限制允许这些嵌入式SWF执行的操作。有关详细信息,请参阅here。
另外,我假设你的服务器上没有一个open-open crossdomain.xml文件。如果你们都打开跨域访问,那么我认为将链接到未知的SWF可能是不安全的。 (如果您没有任何crossdomain.xml策略文件,那么您可以 - 如果不存在策略,则默认为不授予访问权限。)