允许 Flash 影片与包含窗口通信而不暴露完整的外部接口？

Question

我正在开发一个允许管理员上传任意 SWF 并将其嵌入页面的网站。理论上，管理员是值得信任的，但我仍然希望防止潜在的恶意管理员或受误导的管理员损害网站。

该站点的部分功能是 SWF 可以在完成后与包含的浏览器页面进行通信并让页面做出反应。

现在，我可以想到两种方法来执行此操作：

• 使用 ExternalInterface.addCallback 创建一个名为 isComplete 之类的全局回调，该回调执行逻辑并返回 true 或 false，具体取决于是否Flash 应用程序处于完成状态。然后，只需执行类似 setTimeout 的操作即可重复调用该函数。我认为这不需要我打开电影的 allowscriptaccess 。
• 使用 allowscriptaccess 嵌入影片，并让影片在完成时调用类似 ExternalInterface.call('done') 的内容。此选项似乎需要我打开 allowscriptaccess，这是一个潜在的威胁，因为我无法控制嵌入该指令的 SWF。

我是否缺少一个不涉及无限循环并且不需要我公开安全风险的解决方案？

Answer 1

不要将 SWF 直接嵌入到主页中，而是将它们嵌入到托管在子域（或某些其他域）上的单独页面中。然后，通过主页中的 显示该子页面。这样，您将拥有一个跨域。继续并授予 SWF allowscriptaccess 权限。然后，通过 postMessage（或跨浏览器模拟脚本）与 iframe 进行通信。这样，SWF 就可以对页面做任何他们想做的事情，但到主页只有一个受控的“隧道”。