我和我的同事讨论过Flash安全问题。我们正处于为使用Flash插件显示内容的Web项目规划一些内容的阶段。我们需要使用JSON从服务器动态提取Flash应用程序的设置。
我提出的建议是,我们应该在加载插件后保存额外的HTTP请求来拉取数据文件,并将JSON直接嵌入到包含Flash插件的页面中。 Flash会触发一个Javascript函数,该函数会将反序列化的JSON数据返回给它。
我的同事以严重的“安全问题”反对这一提议。
我相信除了他的方法需要额外的HTTP请求之外,这两种方法之间几乎没有区别。所有这些都是客户端/服务器,永远不应该信任客户端。如果我想更改JSON查询中的数据,我可以在两种情况下都这样做。文件提取虽然很难破解,但可以使用自定义HTTP代理。
你有什么想法?
答案 0 :(得分:2)
没有区别。两者都可以制造。
答案 1 :(得分:1)
如果您真的非常关心将原始设置提供给.swf:
不使用http - httpFox是一个出色的插件 - 使用支持RTMP / RTMPE和NetConnection.call()的服务器来检索数据。
创建一个验证原始json的算法,以便在配置未通过测试时您的应用无效。
加载配置后,你的swf可能会检查服务器的值(不是一次全部)并在出现问题时抛出错误