2
目前,我允许用户在我的网站上向他们的个人资料中添加应用程序/ x-shockwave-flash对象。我只过滤了网址,内容类型设置为“application/x-shockwave-flash”远程Flash文件是否易受攻击?
是否有任何漏洞允许我的用户链接到远程Flash /视频文件?
A
回答
0
原则上应该是安全的,假设用户只指定一个文件(他们不写嵌入代码),并且他们不能将文件上传到您的服务器。
您可能会在嵌入SWF的嵌入标记中使用allowNetworking和allowScriptAccess参数,以限制这些嵌入的SWF允许执行的操作。详情请参阅here。
此外,我假设您的服务器上没有widedo open crossdomain.xml文件。如果您全部打开跨域访问权限,那么我认为盗链未知SWF可能是不安全的。 (如果您没有任何crossdomain.xml策略文件,那么您很好 - 默认情况下,如果不存在策略,则不授予访问权限。)
0
由于用户生成的Flash内容将托管在其他域中,因此它将在Flash播放器中进行沙盒处理,并且将无法访问您的域中的任何关键内容。
相关问题
- 1. 是否Spring - SpEL易受攻击?
- 2. XSS DOM易受攻击
- 3. 这个有效性检查是否易受攻击?
- 4. 这段代码是否容易受到黑客攻击?
- 5. 试图了解我的页面是否易受攻击
- 6. SQL Server 2008表值是否容易受到SQL注入攻击?
- 7. 此C用户输入代码是否易受攻击?
- 8. 此代码是否容易受到SQL注入攻击?
- 9. 未经认证的网站是否容易受CSRF攻击?
- 10. 测试一个网站是否易受Sql注入攻击
- 11. SOAP web服务是否容易受到CSRF攻击?
- 12. ASP.NET MVC是否容易受到Oracle填充攻击?
- 13. Nhibernate易受SQL注入攻击吗?
- 14. 易受攻击的PHP代码示例?
- 15. Google App Engine应用程序是否容易受到SQL注入攻击?
- 16. 基于Flex/Flash的应用程序是否容易受到XSS攻击?这种攻击发生的各种方式有哪些?
- 17. 这是查询容易受到SQL注入攻击
- 18. 不是JavaScript分析脚本易受数据黑客攻击吗?
- 19. 使系统/程序容易受到攻击
- 20. 易受Padding Oracle Attack攻击的asp.net应用程序示例?
- 21. 远程javascript-ajax-php攻击
- 22. 这段代码是否容易出现sql注入攻击?
- 23. 哪种类型的输入最容易受到攻击?
- 24. 正则表达式匹配来识别易受攻击代码
- 25. 为什么我的代码容易受到xss攻击?
- 26. Java 6+中的已知易受攻击的方法?
- 27. 在XML中使用CDATA元素容易受到攻击?
- 28. XSS易受攻击,即使当我使用编码时
- 29. 为什么MySQL更容易受到SQL注入攻击
- 30. Azure中的Python脚本检测易受攻击的端口