我的应用程序经历了安全扫描,并且在扫描存在 swf 的特定页面时,攻击请求被触发到jwplayer.flash.swf并在附加响应中它暴露了一个包 com.longtailvideo.jwplayer.events ,其中包含类似 GlobalEventDispatcher , PlayerEvent , LicenseKey 等,我关心的是 LicenseKey 类包含 SHARED_SECRET 属性,它正在暴露,我们应该删除这样的共享来自攻击响应的秘密信息。通过谷歌搜索我发现通过将" allowscriptaccess" 从"始终" 更改为" samedomain&# 34; 并添加属性" allowNetworking" ,其值为"无" ,如下所示
<object id='MyMovie.swf' classid='clsid:D27CDB6E-AE6D-11cf-96B8-444553540000' codebase='http://download.adobe.com/pub/shockwave/cabs/flash/swflash.cab#version=9,0,0,0' height='100%' width='100%'>
<param name='allowScriptAccess' value='samedomain'/>
<param name='allowNetworking' value='none'/>
<param name='src' value=''MyMovie.swf'/>
<embed name='MyMovie.swf' pluginspage='/go/getflashplayer' src='MyMovie.swf' height='100%' width='100%' allowScriptAccess='never'>
</object>
我是否知道上述两个属性是否清除了安全问题。
谢谢, 巴拉吉。