SWF 托管安全

Question

我已经开始在 as3 中开发绘图应用程序。我想我可以集成一个 cms 并允许 swf 文件在运行时作为图形上传。这里涉及第三方可能恶意的 swf 文件的潜在安全问题是什么？

我只需将 swf 作为自定义精灵类添加到蒙版容器精灵中即可。 这是否会打开一个漏洞来运行其他脚本（另一台服务器上的 js？），或者以不安全的方式访问客户端计算机？

我将不胜感激任何有关 swf 托管的推荐阅读和/或建议/经验。我看到现在许多网站都在这样做，例如 Wonderfl 和 activeden。

Answer 1

这是相当于 XSS 的 ActionScript。您的域名将不再受同源政策的保护。攻击者可以利用它来劫持会话 ID (Cookie)、破坏您的网站或向访问您网站的任何浏览器传送漏洞利用代码。

Answer 2

我认为与其在服务器上保存一堆乱七八糟的 SWF，不如序列化绘图数据，然后让主 SWF 根据加载的数据重新绘制绘图。您仍然可以使用 CMS/数据库来存储和管理此数据。

编辑*

如果您需要加载 SWF，请查看 指定加载上下文。也许还可以阅读 加载内容。