kix*_*orz 5 javascript security flash
我与我的同事讨论了Flash安全问题.我们正处于为使用Flash插件显示内容的Web项目规划一些内容的阶段.我们需要使用JSON从服务器动态提取Flash应用程序的设置.
我提出的建议是,我们应该在加载插件后保存额外的HTTP请求来拉取数据文件,并将JSON直接嵌入到包含Flash插件的页面中.Flash会触发一个Javascript函数,该函数会将反序列化的JSON数据返回给它.
我的同事以重大的"安全问题"反对这一提议.
我相信除了他的方法需要额外的HTTP请求之外,这两种方法之间几乎没有差别.所有这些都是客户端/服务器,永远不应该信任客户端.如果我想更改JSON查询中的数据,我可以在两种情况下都这样做.文件提取虽然很难破解,但可以使用自定义HTTP代理.
你的想法是什么?
小智 1
如果您真的非常关心将原始设置传递给 .swf:
不要使用 http - httpFox 是一个出色的插件 - 使用支持 RTMP/RTMPE 的服务器并NetConnection.call()检索数据。
创建一个算法来验证原始 json,这样如果配置未通过测试,您的应用程序将无法运行。
加载配置后,您的 swf 可能会检查服务器的值(不是一次全部检查),如果出现问题,则会抛出错误