xxx.swf?init=js.init
涛涛电脑知识网
flash里面这样写涛涛电脑知识网
var HANDLE_INIT:String = getFlashVar('init');
......
public static function handleInit(arg:*=null):void
{
ExternalInterface.call(HANDLE_INIT, arg);
}
flash生成后调用 handleInit
这时,如果传入的是
xxx.swf?init=alert(1)
便会弹出消息框,显示1,看,被XSS了。
所以flash调用外部js时,最好是调用固定的函数名。不要外部传。
另外,flash不用插入到html里,可以直接在浏览器里打开,所以不能说可以保证传入的数据会是正确
如:别人直接写了一个链接 /xxx.swf?init=alert(1) ,给用户,也会xss的
