Kaikki parametrit voi ilmeisesti välittää flashille myös query stringissä. Tämä tuli pienenä yllätyksenä ja nyt tarvitsee sitten tehdä ilmeisesti tarkistuksia ActionScriptin sisään, että onko arvot lähellekään sallittuja, jos joku kutsuukin mun flashiä omilta sivuiltaan.
[code]
var so = new SWFObject("/oma.swf", "oma.swf", "756", "255", "8","#FFFFFF", false);
so.addVariable("targetUrl", "http://www.omatsivut.com/linkit.html");
[/code]
voi siis aina esittää myös muodossa
omatsivut.com/oma.swf?targetUrl=javascript:alert(document.cookie)
ja joku voi yrittää kikkailla ties mitä session varastamisia.
Pitääkö ActionScriptiin koodata tarkistuksia että onko annettu arvo sallittu esim. regexpin avulla vai voiko ActionScriptissä sanoa, että älä koskaan ota parametreja query stringistä?
Oman domainin vois kovakoodata tietty scriptin sisään ja käyttää parametreissa suhteellista osoitetta. Sitten vois regexpillä tarkistaa alkaako arvo esim "javascript", mutta oishan se helpompaa jos sen vaaan sais kiellettyä.
parametrien välitys swf:lle
eeris
0
559
Vastaukset
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
- 544786
Vain vasemmistolaiset rakennemuutokset pelastavat Suomen
Kansaa on ankeutettu viimeiset 30+ vuotta porvarillisella minäminä-talouspolitiikalla, jossa tavalliselta kansalta on ot1734302- 1303930
- 673912
Purra on kantanut vastuuta täyden kympin arvoisesti
Luottoluokituksen lasku, ennätysvelat ja ennätystyöttömyys siitä muutamana esimerkkinä. Jatkakoon hän hyvin aloittamaans493691Persut huutaa taas: "kato! muslimi!"
Persut on lyhyessä ajassa ajaneet läpi kaksi työntekijöiden oikeuksien heikennystä, joita se on aiemmin vastustanut. Pe793518- 993064
- 542905
- 252726
Korjaamo suositus
Vahva suositus Kumpulaisen korjaamolle vanhan 5-tien varrelta! Homma pelaa ja palvelu ykköslaatuista. Mukavaa kun tuli p162486