我已经开始在as3中开发绘图应用程序了。我想我可以集成一个cms并允许swf文件作为图形在运行时上传。这里涉及第三方可能是恶意swf文件的是什么样的安全问题?
我只是将swf作为自定义精灵类添加到蒙版容器精灵中。 这是否会打开一个漏洞来运行其他脚本(另一台服务器上的js?)或者以不安全的方式访问客户端的计算机?
我将非常感谢任何推荐阅读和/或swf托管的建议/经验。我看到现在已经在很多网站上完成了这项工作,例如wonderfl和activeden。
答案 0 :(得分:1)
这是与XSS等效的ActionScript。您的域名将不再受Same Origin Policy的保护。攻击者可以使用此方法劫持会话ID(Cookie),破坏您的网站或向访问您网站的任何浏览器提供漏洞利用代码。
答案 1 :(得分:0)
我认为不是在服务器上保存一堆乱七八糟的SWF,最好是序列化绘图数据,让主SWF根据加载的数据重绘图形。您仍然可以使用CMS /数据库来存储和管理这些数据。
修改*
如果您需要加载SWF,请查看Specifying loading context。也许还可以阅读Loading Content。