parametrien välitys swf:lle

eeris

Kaikki parametrit voi ilmeisesti välittää flashille myös query stringissä. Tämä tuli pienenä yllätyksenä ja nyt tarvitsee sitten tehdä ilmeisesti tarkistuksia ActionScriptin sisään, että onko arvot lähellekään sallittuja, jos joku kutsuukin mun flashiä omilta sivuiltaan.

[code]
var so = new SWFObject("/oma.swf", "oma.swf", "756", "255", "8","#FFFFFF", false);
   so.addVariable("targetUrl", "http://www.omatsivut.com/linkit.html");
[/code]

voi siis aina esittää myös muodossa

omatsivut.com/oma.swf?targetUrl=javascript:alert(document.cookie)

ja joku voi yrittää kikkailla ties mitä session varastamisia.

Pitääkö ActionScriptiin koodata tarkistuksia että onko annettu arvo sallittu esim. regexpin avulla vai voiko ActionScriptissä sanoa, että älä koskaan ota parametreja query stringistä?

Oman domainin vois kovakoodata tietty scriptin sisään ja käyttää parametreissa suhteellista osoitetta. Sitten vois regexpillä tarkistaa alkaako arvo esim "javascript", mutta oishan se helpompaa jos sen vaaan sais kiellettyä.

0

558

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000

      Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

      Takaisin ylös

      Luetuimmat keskustelut

      1. Sanna Marin teki sen, mihin muut eivät pystyneet - sote kerralla maaliin

        Yli 15 vuotta Suomessa vatvottu sote-uudistus meni lopulta läpi Sanna Marinin hallituksen aikana. Edeltävät hallitukset
        Maailman menoa
        52
        5078

      2. Enää viisi yötä Sannan kirjaan

        Ihan täpinöissään tässä odotellaan. Vaikea pysytellä aloillaan, kun koko ajan tekisi mieli jo kirjakauppaan rynnätä, mut
        Maailman menoa
        28
        3729

      3. Marinin hallitus hyväksyi soten (105-77) vuonna 2021

        vastaan äänesti Kok, persut, KD, Liike Nyt. Nyt on sitten käynyt niin kuin on käynyt. Pääkirjoitus: Sanna Marin jätti
        Maailman menoa
        69
        3493

      4. Lehtinen: "Oli demareidenkin onni, että valkoiset voittivat sodan 1918"

        Lasse Lehtisen mukaan vasemmalla on radiohiljaisuus hänen uutuuskirjastaan, "Läheltä piti. Kansakunnan hurjat hetket" L
        Maailman menoa
        101
        2848

      5. SDP:n valtuutettu valehtelee koulutuksensa

        SDP:n helsinkiläinen kaupunginvaltuutettu Mahad Ahmed käyttää maisterin titteliä suoritettuaan 60 opintopisteen epäviral
        Maailman menoa
        92
        2741

      6. IL - 100 000 potentiaalista sotilasta pakeni Ukrainasta!

        "Ukrainasta nuorten miesten joukkopako Liki 100 000 asevelvollisuusikäistä miestä on poistunut Ukrainasta parin viime k
        Maailman menoa
        30
        2680

      7. Anteeksi T

        Aamulla olit iloisena huomenta toivottamassa ja minä naama mutrussa sanoi huomenet takaisin. Tajusin vasta yläkerrassa
        Ikävä
        13
        1891

      8. En mä tahallani ole näin hankala.

        Mulla oli kuusi vuotta sitten vähän samanlainen tilanne ja se päättyi huonosti. Ilmeisesti kuvittelin kaiken silloin ta
        Ikävä
        16
        1656

      9. Harmittaako mies, että yhteys katkesi?

        Olisitko halunnut, että olisi säilynyt jonkinlainen yhteys vai oliko parempi polttaa sillat takana?
        Ikävä
        202
        1508

      10. Harmittaako että

        Annoit niin paljon positiivista huomiota ja rakkautta kaivatullesi
        Ikävä
        153
        1361
      Aihe
      TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt