2

同じHTMLコンテナ(クライアント側)にあるJavaScriptとFlashアプリ間のExternalInterface API呼び出しは、設計上、どの程度安全ですか?

設計上、傍受される可能性はありますか?

ヒント:ExternalInterface APIリファレンス(上記)は次のようになります

ExternalInterfaceクラスでは、ユーザーのWebブラウザーがActiveX®またはプラグインスクリプト用に一部のブラウザーによって公開されるNPRuntimeAPIのいずれかをサポートする必要があります。http://www.mozilla.org/projects/plugins/npruntime.htmlを参照して ください。

ありがとう

4

1 に答える 1

2

傍受された意味によって異なりますか?呼び出しが行われているページ/サンドボックスを信頼する場合ExternalInterface、それは安全です。私が考えることができる唯一の攻撃ベクトルは、ハッカーが__flash__toXMLjavascript関数を変更することです。

注目に値するもう1つのポイントはExternalInterface.call、XSS攻撃に対して脆弱であることです。したがって、引数がユーザーからのものである場合は、引数を常にサニタイズする必要があります。

于 2012-08-15T14:07:35.980 に答える