【发布时间】:2010-08-20 06:40:58
【问题描述】:
目前,我允许用户将 application/x-shockwave-flash 对象添加到我网站的个人资料中。我只过滤了 URL,并且内容类型设置为“application/x-shockwave-flash”
允许我的用户链接到远程 Flash/视频文件是否存在任何漏洞?
【问题讨论】:
【发布时间】:2010-08-20 06:40:58
【问题描述】:
原则上应该是安全的,假设用户只指定一个文件(他们不编写嵌入代码),并且他们不能将文件上传到您的服务器。
您可能需要在嵌入 SWF 的 embed 标记中使用 allowNetworking 和 allowScriptAccess 参数,以限制允许这些嵌入的 SWF 执行的操作。详情请见here。
另外,我假设您的服务器上没有广泛开放的 crossdomain.xml 文件。如果你们都开放跨域访问,那么我认为盗链到未知的 SWF 可能是不安全的。 (如果您没有任何 crossdomain.xml 策略文件,那没关系 - 默认情况下,如果不存在策略,则不授予访问权限。)
【讨论】:
由于用户生成的 Flash 内容将托管在其他域中,因此它将在 Flash 播放器中被沙盒化,并且无法访问您的域中的任何关键内容。
【讨论】: