来源:自学PHP网 时间:2015-04-17 11:59 作者: 阅读:次
[导读] 在html插入一段flash时,由外部传入一个生成后的回调xxx.swf?init=js.initflash里面这样写var HANDLE_INIT:String = getFlashVar(#39;init#39;);......public static function handleInit(arg:*=null):v......
|
在html插入一段flash时,由外部传入一个生成后的回调
xxx.swf?init=js.init
flash里面这样写
var HANDLE_INIT:String = getFlashVar('init');
......
public static function handleInit(arg:*=null):void
{
ExternalInterface.call(HANDLE_INIT, arg);
}
flash生成后调用 handleInit
这时,如果传入的是
xxx.swf?init=alert(1)
便会弹出消息框,显示1,看,被XSS了。
所以flash调用外部js时,最好是调用固定的函数名。不要外部传。
另外,flash不用插入到html里,可以直接在浏览器里打开,所以不能说可以保证传入的数据会是正确
如:别人直接写了一个链接 http://www.2cto.com /xxx.swf?init=alert(1) ,给用户,也会xss的
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
