爱华网ALLOWSCRIPTACCESS
允许随时执行脚本操作。
Macromedia Flash Player 带有一个 AllowScriptAccess 参数,它可以用来控制是否允许执行来自swf 本身对外脚本。
AllowScriptAccess 参数可以有两个值: "always" 和 "never":
当 AllowScriptAccess 设置为 "never" 时,运行对外脚本会失败;
当 AllowScriptAccess 设置为 "always" 时,可以成功运行对外脚本;
如果没有定义这个参数的值,将会取默认值 "always".
------------------------------------------------------------------------------------------------------
问题:Flash参数AllowScript-Access 已设置为always
风险:当AllowScriptAccess为always时,表明嵌入的第三方Flash文件可以执行代码。攻击者此时就可以利用该缺陷嵌入任意第三方Flash文件而执行恶意
代码。
分析:AllowScriptAccess参数可以是“always”、”sameDomain”或“never”。三个可选值中,“always”表示Flash文件可以与其嵌入到的 HTML页进行通信,即使该Flash文件来自不同于HTML页的域也可以。当参数为“sameDomain”时,仅当Flash文件与其嵌入到的HTML页来自相同的域时,该Flash文件才能与该HTML页进行通信,此值是AllowScriptAccess的默认值。而当AllowScriptAccess为 “never”时,Flash文件将无法与任何HTML页进行通信。
因此需要将AllowScriptAccess参数设置为“sameDomain”,可以防止一个域中的Flash文件访问另一个域的HTML 页内的脚本。
