Kaikki parametrit voi ilmeisesti välittää flashille myös query stringissä. Tämä tuli pienenä yllätyksenä ja nyt tarvitsee sitten tehdä ilmeisesti tarkistuksia ActionScriptin sisään, että onko arvot lähellekään sallittuja, jos joku kutsuukin mun flashiä omilta sivuiltaan.
[code]
var so = new SWFObject("/oma.swf", "oma.swf", "756", "255", "8","#FFFFFF", false);
so.addVariable("targetUrl", "http://www.omatsivut.com/linkit.html");
[/code]
voi siis aina esittää myös muodossa
omatsivut.com/oma.swf?targetUrl=javascript:alert(document.cookie)
ja joku voi yrittää kikkailla ties mitä session varastamisia.
Pitääkö ActionScriptiin koodata tarkistuksia että onko annettu arvo sallittu esim. regexpin avulla vai voiko ActionScriptissä sanoa, että älä koskaan ota parametreja query stringistä?
Oman domainin vois kovakoodata tietty scriptin sisään ja käyttää parametreissa suhteellista osoitetta. Sitten vois regexpillä tarkistaa alkaako arvo esim "javascript", mutta oishan se helpompaa jos sen vaaan sais kiellettyä.
parametrien välitys swf:lle
eeris
0
553
Vastaukset
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
- 503834
- 1053415
ROTAT VALTAAVAT ALUEITA
Asukkaat nyt loukkuja tekemään ja kiireellä, jätehuolto kuntoon, jätteet niille kuuluville paikoille, huomioikaa yrittäj342791Miten minusta tuntuu että kaikki tietää sun tunteista mua kohtaan
Paitsi suoraan minä itse, vai mitä hlvettiä täällä tapahtuu ja miksi ihmiset susta kyselee minulta 🤔❤️262438- 201869
Alavuden sairaala
Säästääkö Alavuden sairaala sähkössä. Kävin Sunnuntaina vast. otolla. Odotushuone ja käytävä jolla lääkäri otti vastaan51799- 1851756
- 271467
Reuters: Ukraina on iskenyt Venäjän strategisia pommikoneita vastaan. Jopa 40 konetta vahingoittunut
Ukrainan turvallisuuspalvelu SBU on iskenyt Venäjän strategisia pommikoneita vastaan, kertoo Reuters. Uutistoimiston läh3861459Huomenta kulta
En mä halunnut sulle ilkeillä,päinvastoin. Miks mä niin tekisin ku rakastan sua ❤️ mut anteeksi jos ilmaisin itseäni huo91228