我目前运行多个 Wordpress MU 安装。
我的用户要求能够发布视频(不仅仅是 Youtube,而是来自我们自己的 Flash 媒体服务器)。
默认情况下,Wordpress 会去除 <embed> 标签。
现在,我绝不会允许用户在他们的帖子中包含 PHP 或 JavaScript,我是否需要担心 Flash 漏洞?
嵌入标签有多危险,我应该担心赋予他们这种能力吗?
谢谢
【问题讨论】:
标签: php flash security wordpress
一般而言,Flash 在防止诸如密钥捕获等漏洞利用方面取得了长足的进步。
您可以做的最安全的事情是混淆嵌入代码并让它们仅提供 SWF URL,这样他们就无法在嵌入对象中提取任何花哨的东西,例如允许跨脚本等...
特别是,您要注意潜在的黑客试图通过使用 AS3 的 ExternalInterface.call() 函数从您的博客 JS 文件中调用 JS 函数...这肯定是不好的。不过我认为你可以使用嵌入技术来关闭它。
【讨论】:
确保在 object/embed 标记中设置 allowScriptAccess="never" 以拒绝第三方 SWF 使用 scripting powers。
【讨论】:
我建议 Flash 仅与其呈现的内容一样安全;并且包含 Youtube 视频并不比访问 Youtube 网站上的相同视频更危险。
【讨论】:
Flash 非常安全。很多大大小小的网站都在使用它 10 年了。当然可以发现漏洞,就像在每个软件中一样。没有任何网络系统是 100% 安全的。很多人都在使用闪存,并且很多开发人员正在努力使其安全。如果您真的很敏感信息,请不要首先将它们放在网络上。安全性更多地取决于编写一段代码的开发人员,而不是代码的类型(actionscript、javascript、php 或 java)。语言允许错误,开发人员有时会犯错误。
如果你需要,我的建议是使用它。
【讨论】: