当前位置：首页 > 范文大全 > 实用文>升级flash插件，防范Flash动画恶意链接WEB安全

升级flash插件，防范Flash动画恶意链接WEB安全

2023-02-17 07:57:14 收藏本文下载本文

“退市糊糊”通过精心收集，向本站投稿了5篇升级flash插件，防范Flash动画恶意链接WEB安全，小编在这里给大家带来升级flash插件，防范Flash动画恶意链接WEB安全，希望大家喜欢!

篇1：升级flash插件，防范Flash动画恶意链接WEB安全

说起Flash，相信没有人不知道，各种基于Flash格式的MTV、游戏、动画在网络上进行传播。也正因为Flash的流行，被一些别有用心的伪们所利用，它们在Flash里插入一些链接，用户在播放过程中会自动打开链接访问相应的网站，这些链接除部分指向制作者网站之外，更多的被指向了广告骚扰、、病毒等恶意站点，给用户带来烦恼。那么该如何解决这种情况呢?别急，借助最新的Marcromedia Flash Player播放器即可进行有效防范。

首先到www.adobe.com/go/getflash 网站，单击“Download now”按钮，在随后出现的页面中单击“Install Now”进行在线安装最新的Flash播放器，

安装好之后，现在我们再打开包含有链接的Flash文件，当播放到链接处播放器就会自动拦问网络的行为，并且会弹出安全性窗口，告知用户被拦截的地址。此时用户可以单击“确定”按钮确认拦截，也可以单击“设置”按钮对播放器的拦截功能进行相应的配置。在单击“设置”后打开的窗口左侧选择“全局安全性设置面板”，此时建议大家选中“始终拒绝”选项，这样播放器则会默认拦截所有访问网络的请求，并不会弹出窗口询问用户，从而省去了用户确认的麻烦。

怎么样，借助Flash播放器本身的安全设置，是不是已经成功地将隐藏在Flash背后的黑手斩断了呢!

篇2：Flash安全的一些总结WEB安全

整理了下Flash安全相关的知识，后面会再完善

一、先来说crossdomain.xml这个文件

flash如何跨域通信，全靠crossdomain.xml这个文件，这个文件配置在服务端，一般为根目录下，限制了flash是否可以跨域获取数据以及允许从什么地方跨域获取数据。

比如下面的列子：

1、www.a.com域下不存在crossdomain.xml文件，则不允许除了www.a.com域之外的其他任何域下的flash进行跨域请求。

2、www.a.com域下存在crossdomain.xml文件，如若配置 allow-access-from 为www.b.com，则只允许www.b.com域下的flash进行跨域请求，以及来自自身域www.a.com的网络请求。

crossdomain.xml需严格遵守XML语法，有且仅有一个根节点cross-domain-policy，且不包含任何属性。在此根节点下只能包含如下的子节点：

site-control

allow-access-from

allow-access-from-identity

allow-http-request-headers-from

site-control

早期的flash允许从其他位置载入自定义的策略文件，目前最新版的flash在接受自定义的策略文件之前会去检查主目录的crossdomain.xml来判断是否接受自定义策略文件。该选项就由site-control进行控制。

不加该选项时，默认情况下flash不加载除主策略文件之外的其他策略文件，即只接受根目录下的crossdomain.xml，这样可以防止利用上传自定义策略文件进行的攻击。如果需要启用其他策略文件，则需要配置permitted-cross-domain-policies属性，该属性有以下五个值： none: 不允许使用loadPolicyFile方法加载任何策略文件，包括此主策略文件。

master-only: 只允许使用主策略文件[默认值]。

by-content-type:只允许使用loadPolicyFile方法加载HTTP/HTTPS协议下Content-Type为text/x-cross-domain-policy的文件作为跨域策略文件。

by-ftp-filename:只允许使用loadPolicyFile方法加载FTP协议下文件名为crossdomain.xml的文件作为跨域策略文件。

all: 可使用loadPolicyFile方法加载目标域上的任何文件作为跨域策略文件，甚至是一个JPG也可被加载为策略文件！

例子：

允许通过HTTP/HTTPS协议加载http头中Content-Type为text/x-cross-domain-policy的文件作为策略文件

允许加载任意文件作为策略文件

allow-access-from

该选项用来限制哪些域有权限进行跨域请求数据。

allow-access-from有三个属性

domain：有效的值为IP、域名，子域名代表不同的域，通配符*单独使用代表所有域。通配符作为前缀和域名进行组合代表多个域，比如*.weibo.com,代表weibo.com所有的子域。

to-ports：该属性值表明允许访问读取本域内容的socket连接端口范围。可使用to-ports=“1100,1120-1125”这样的形式来限定端口范围，也可使用通配符（*）表示允许所有端口。

secure：该属性值指明信息是否经加密传输。当crossdomain.xml文件使用https加载时，secure默认设为true。此时将不允许flash传输非https加密内容。若手工设置为false则允许flash传输非https加密内容。

例子

a.com/crossdomain.xml文件内容如下

允许所有qq.com的子域通过https对t.qq.com域进行跨域请求。

allow-access-from-identity

该节点配置跨域访问策略为允许有特定证书的来源跨域访问本域上的资源。每个allow-access-from-identity节点最多只能包含一个signatory子节点。

allow-http-request-headers-from

此节点授权第三方域flash向本域发送用户定义的http头。

allow-http-request-headers-from包含三个属性：

domain：作用及参数格式与allow-access-from节点中的domain类似。

headers：以逗号隔开的列表，表明允许发送的http头。可用通配符（*）表示全部http头。

secure：作用及用法与allow-access-from节点中的secure相同。

注：Flash 在自定义HTTP头中无法使用下列请求标题，并且受限制的词不区分大小写（例如，不允许使用 Get、get 和 GET）。另外，如果使用下划线字符，这也适用于带连字符的词（例如，不允许使用 Content-Length 和 Content_Length）：

Accept-Charset、Accept-Encoding、Accept-Ranges、Age、Allow、Allowed、Authorization、Charge-To、Connect、Connection、Content-Length、Content-Location、Content-Range、Cookie、Date、Delete、ETag、Expect、Get、Head、Host、Keep-Alive、Last-Modified、Location、Max-Forwards、Options、Post、Proxy-Authenticate、Proxy-Authorization、Proxy-Connection、Public、Put、Range、Referer、Request-Range、Retry-After、Server、TE、Trace、Trailer、Transfer-Encoding、Upgrade、URI、User-Agent、Vary、Via、Warning、WWW-Authenticate 和 x-flash-version，

二、web应用中安全使用flash

设置严格的crossdomain.xml文件可以提高服务端的安全性，在web应用中也会经常使用flash，一般是通过

flash是直接可以执行js代码的，所以在web应用中如果使用不当也会很危险，所以flash使用下面两个属性来保证引用flash时的安全性。

allowScriptAccess 和 allowNetworking

allowScriptAccess用来控制flash与html的通讯，可选的值为：

always //对与html的通讯也就是执行javascript不做任何限制

sameDomain //只允许来自于本域的flash与html通讯，这是默认值

never //绝对禁止flash与页面的通讯

allowNetworking用来控制flash与外部的网络通讯，可选的值为：

all //允许使用所有的网络通讯，也是默认值

internal //flash不能与浏览器通讯如navigateToURL，但是可以调用其他的API

none //禁止任何的网络通讯

在allowNetworking设置为internal时，下面API将会被禁止使用：

fscommand

navigateToURL()

ExternalInterface.call()

在allowNetworking设置为none时，下面API将会被禁止使用：

sendToURL()

FileReference.download()

FileReference.upload()

Loader.load()

LocalConnection.connect()

LocalConnection.send()

NetConnection.connect()

URLStream.load()

NetStream.play()

Security.loadPolicyFile()

SharedObject.getLocal()

SharedObject.getRemote()

Socket.connect()

Sound.load()

URLLoader.load()

XMLSocket.connect()

在web应用中使用flash的时候一般通过设置这两项即可保证安全性，如果在web应用中使用的flash为用户可控，强烈建议这两项的设置值为

allowScriptAccess=never allowNetworking=none

三、flash安全编程

如果web应用中调用flash时设置的allowScriptAccess为never、allowNetworking为none，即使flash文件本身存在漏洞也可以忽略。不过事实上大部分web应用不会设置这两项属性，甚至会设置的不安全，比如allowScriptAccess为always、allowNetworking为all。所以在进行flash开发的时候就要考虑好安全性。

flash编程不安全可导致两方面的漏洞：

1、通过ExternalInterface.call()执行javascript代码

2、通过loadMovie()等方式可以载入外部flash文件执行

这两类问题都是需要通过参数接收外面传入的数据，在flash内部没有对数据进行严格的控制造成的。

例子：

this.movieName = root.loaderInfo.parameters.movieName;

this.flashReady_Callback = “SWFUpload.instances[\”“ + this.movieName + ”\“].flashReady”;

ExternalCall.Simple(this.flashReady_Callback);

public static function Simple(arg0:String){

ExternalInterface.call(arg0);

return;

}

接收到外部传入的movieName没有进行处理，最后通过ExternalInterface.call()进行执行，这样就能够执行任意的javascript代码，如果在调用flash的时候设置的不够安全就是XSS漏洞。

所以在flash编程中如果需要通过参数接收外部传入的数据，一定要对数据进行严格的检查，这样才能保证flash安全性。

参考文档：

Flash应用安全规范 www.80sec.com/flash-security-polic.html

flash跨域策略文件crossdomain.xml配置详解hi.baidu.com/cncxz/blog/item/7be889fa8f47a20c6c22eb3a.html

Cross-domain Policy File Specificationwww.senocular.com/pub/adobe/crossdomain/policyfiles.html

篇3：配置自动播放器防范动画恶意链接

说起Flash，相信没有人不知道，各种基于Flash格式的MTV、游戏、动画在网络上进行传播。也正因为Flash的流行，被一些别有用心的伪们所利用，它们在Flash里插入一些链接，用户在播放过程中会自动打开链接访问相应的网站，这些链接除部分指向制作者网站之外，更多的被指向了广告骚扰、、病毒等恶意站点，给用户带来烦恼。那么该如何解决这种情况呢？别急，借助最新的Marcromedia Flash Player播放器即可进行有效防范。

首先到“www.duote.com/soft/1446.html”网站，下载安装最新的Flash播放器，

安装好之后，现在我们再打开包含有链接的Flash文件，当播放到链接处播放器就会自动拦问网络的行为，并且会弹出安全性窗口，告知用户被拦截的地址。天空软件站建议用户此时单击“确定”按钮确认拦截，也可以单击“设置”按钮对播放器的拦截功能进行相应的配置。在单击“设置”后打开的窗口左侧选择“全局安全性设置面板”，此时建议大家选中“始终拒绝”选项，这样播放器则会默认拦截所有访问网络的请求，并不会弹出窗口询问用户，从而省去了用户确认的麻烦。

怎么样，借助Flash播放器本身的安全设置，是不是已经成功地将隐藏在Flash背后的黑手斩断了呢！

篇4：好玩但又很安全！看Flash安全巧设置WEB安全

喜爱Flash的朋友想必不在少数，但这些东东有时也会强制访问某些站点，带来一些安全问题，要想让Flash更安全？下面笔者就介绍一下Flash Player的安全设置，

更新版本

首先，你需要将系统中的Flash Player更新至最新版本。访问www.macromedia.com/software/flashplayer/，单击页面中的“Download now”按钮，将系统中的Flash Player更新至最新版本，不过升级Flash Player时会自动安装YAHOO! TOOLBAR，你可以根据自己的需要决定是否安装。当看到“Macromedia Flash Player successfully installed”的提示，说明更新成功。

在线设置确保安全

www.macromedia.com/support/documentation/cn/flashplayer/help/settings_manager04.html页面是Macromedia Flash Player的全局安全性设置面板（如图1），默认设置是“始终询问”，也就是说当Flash游戏试图访问网络时，Macromedia Flash Player的安全机制都会自动将其拦截下来并弹出一个警告窗口，你可以决定是否允许它访问到网络，

图1

权限设置

事实上，Flash Player的安全机制当然没有错，但每次都弹出这个警告窗口，也实在是有些烦人。其实对于那些需要连接到网络才能玩的Flash游戏，我们可以访问Flash Player的全局安全性设置面板，点击弹出菜单，然后选择“添加位置”，此时会打开“信任此位置”框，只要将其相应路径添加至这个框中即可(见图2)，既可以添加单个文件，也可以添加整个目录，此时该目录中的所有文件和子目录都是受信任的。

图2

添加完成后，我们将可以在“始终信任以下位置的文件”列表框中查看到受信任的位置，刷新浏览器或重新启动播放器后，播放该位置的Flash就不会收到限制了。