浅谈修复Flash跨站攻击

Flash中添加动作getUrl()即可弹出指定页面,

据我所知除了DX这样的大程序,很多大的厂商也包括,例如某些flash游戏/动漫站.

当然了,如果我们只会利用而不懂得修补 那可真算不上个英雄好汉…

由于各种好奇的原因 在不断搜索中苦苦无果 最终在某群中提问 jacks 给出了解决方桉,

利用AllowNetworking来禁用止Flash中的getUrl

This HTML parameter governs a number of ActionScript

APIs. It has the following possible values:

“all”—the default. No networking restrictions; player

behaves normally.

“internal”—SWF files may not call browser navigation or

browser interaction APIs, but may call any other networking

APIs.

“none”—SWF files may not call any networking APIs, nor

any SWF-to-SWF communication APIs.

转自90安全团队由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理.