2

JavaScript 和 Flash 应用程序之间的ExternalInterface API调用在设计上有多安全?驻留在同一个 HTML 容器中(在客户端)?

它可以被 - 按照设计 - 拦截吗?

提示:ExternalInterface API 参考(上图)为

ExternalInterface 类要求用户的 Web 浏览器支持ActiveX®或某些浏览器公开的用于插件脚本的NPRuntime API。请参阅 http://www.mozilla.org/projects/plugins/npruntime.html

谢谢

4

1 回答 1

2

取决于你所说的拦截是什么意思?如果您信任ExternalInterface正在调用的页面/沙箱,那么它是安全的。我能想到的唯一攻击媒介是黑客修改__flash__toXMLjavascript 函数。

还有一点值得注意的ExternalInterface.call是容易受到XSS攻击;因此,如果参数来自用户,则必须始终对其进行清理。

于 2012-08-15T14:07:35.980 回答