标签: flex xss
我有一个带有flex应用程序的网站。 flex应用程序没有用户输入 - 导航点击除外。该网站也不使用脚本语言 - 即没有php,asp,jsp或cfm。
网站只包含一个页面,其中包含Flex应用程序的Flash文件。此页面的源代码位于:http://pastebin.com/n5b4RxqT
我被建议(通过我的客户使用的软件程序)该网站易受反射型XSS攻击,并建议“清理”所有用户输入。
我是XSS的菜鸟,并且非常想要问AFAIK没有用户输入。我应该清理什么以及如何消毒?
提前致谢
答案 0 :(得分:0)
使用AC_OETags是旧的做事方式,不推荐使用。您要做的是使用SWFObject,它现在是Flash Builder 4中的默认设置。