数码资讯
限制Flash访问伊江文档对象的bug
选购提示
关注价格、性能、续航、售后和真实使用场景,理性比较后再下单。
核心提示:虽然IE被批评,即是在一些安全做得很好。例如,伊江本地cookie iframe拦截,和IE实现了一个安全属性的iframe。这些特点都和今天的FF…
虽然IE受到了批评。
例如,在伊江本地cookie iframe拦截,和IE实现了一个安全属性的iframe。这些特点都不是FF。
今天我们又看到了另一个安全问题。
在浏览器中,如果直接访问SWF文件,浏览器将自动添加嵌入标记。
例如,直接访问/ svck.swf
所以,
对于FF(Firefox 3.0.3测试),页面源代码:
对于IE(IE7测试)、RES: / / / objectembed_neutral.js MSHTML。DLL自动调用生成的网页,和网页代码
注意,在嵌入标签的两页没有的allowscriptaccess属性值。
在Flash 8,对allowscriptaccess默认值是同域,我的Flash版本9.0.124,也应当同域,也就是说,svck.swf可以访问在当前HTML JS和DOM对象。
在伊江,这种自动生成的页面并不十分安全,所以伊江做了一件事,那就是,限制当前窗口中对文档对象的Flash访问。
这本来是好的,但IE有这样一个错误(在IE6、IE7、IE8测试版/存在):
刷新页面后,可以访问被限制访问的文档对象!
在一个简单的F5刷新页面之后:
对于火狐,它更难以忍受,从一开始就没有限制。
那么,如何使用这个特性,或者bug呢
在Flash的直接脚本中,直接调用
Window.location.reload();
若要刷新当前页,可以访问当前页的文档对象。
在这里,你也可以判断浏览器是否是IE或一种捕捉进入资料中的异常的指纹。
bug发现者的原文在这里
虽然IE受到了批评。
例如,在伊江本地cookie iframe拦截,和IE实现了一个安全属性的iframe。这些特点都不是FF。
今天我们又看到了另一个安全问题。
在浏览器中,如果直接访问SWF文件,浏览器将自动添加嵌入标记。
例如,直接访问/ svck.swf
所以,
对于FF(Firefox 3.0.3测试),页面源代码:
对于IE(IE7测试)、RES: / / / objectembed_neutral.js MSHTML。DLL自动调用生成的网页,和网页代码
注意,在嵌入标签的两页没有的allowscriptaccess属性值。
在Flash 8,对allowscriptaccess默认值是同域,我的Flash版本9.0.124,也应当同域,也就是说,svck.swf可以访问在当前HTML JS和DOM对象。
在伊江,这种自动生成的页面并不十分安全,所以伊江做了一件事,那就是,限制当前窗口中对文档对象的Flash访问。
这本来是好的,但IE有这样一个错误(在IE6、IE7、IE8测试版/存在):
刷新页面后,可以访问被限制访问的文档对象!
在一个简单的F5刷新页面之后:
对于火狐,它更难以忍受,从一开始就没有限制。
那么,如何使用这个特性,或者bug呢
在Flash的直接脚本中,直接调用
Window.location.reload();
若要刷新当前页,可以访问当前页的文档对象。
在这里,你也可以判断浏览器是否是IE或一种捕捉进入资料中的异常的指纹。
bug发现者的原文在这里
声明:本文内容用于数码产品信息整理与选购参考,具体价格、库存、售后政策以官方渠道和电商页面实时信息为准。