记挖掘Flash跨站攻击后的修补方案

发布者: 佚名 2012年02月04日围观次点赞:0

G4by

Flash中添加动作getUrl()即可弹出指定页面,

据我所知除了DX这样的大程序,很多大的厂商也包括,例如某些flash游戏/动漫站.

当然了,如果我们只会利用而不懂得修补那可真算不上个英雄好汉...

由于各种好奇的原因在不断搜索中苦苦无果最终在某群中提问 jacks 给出了解决方桉,

利用AllowNetworking来禁用止Flash中的getUrl

This HTML parameter governs a number of ActionScript

APIs. It has the following possible values:

"all"—the default. No networking restrictions; player

behaves normally.

"internal"—SWF files may not call browser navigation or

browser interaction APIs, but may call any other networking

APIs.

"none"—SWF files may not call any networking APIs, nor

any SWF-to-SWF communication APIs.

顶(0)

踩(0)