虽然IE备受批评,但是从某些安全性上来说,IE还是做的挺不错的。
比如IE中iframe拦截本地cookie,IE在iframe里实现一个security属性。这些特性都是FF没有的。 而今天则看到了另外一个安全问题。 在浏览器里,如果直接访问某个swf文件,浏览器会自动加上 embed标签。 比如,直接访问 [url]http://www.fvck.com/svck.swf[/url] 那么, 对于 FF(Firefox 3.0.3测试),页面源代码为: <embed height="100%" width="100%" name="plugin" src="[url]http://www.fvck.com/svck.swf[/url] " type="application/x-shockwave-flash"/> 对于IE(IE7测试),会自动调用res://mshtml.dll/objectembed_neutral.js 来生成页面,页面代码为 <html><head><script src="res://mshtml.dll/objectembed_neutral.js"></script></head><body objectSource="[url]http://www.fvck.com/svck.swf[/url] " leftmargin=0 topmargin=0 scroll=no> <form id="objectDestination"></form> </body></html> 注意到,这两个页面的embed标签里面,都没有设置allowScriptAccess属性的值。 在 Flash 8 以后, allowScriptAccess 默认值是 sameDomain ,我的flash版本是 9.0.124 ,所以在这里应该也是 sameDomain,就是说,svck.swf可以访问当前html里的js和DOM对象 在IE里,认为这样自动化生成的页面是不怎么安全的,所以IE做了一件事情,就是限制这个flash访问当前窗口的document 对象 这本来是很好的,但是IE居然存在这样一个bug (存在IE6 /IE7 / IE8 Betas 中): 刷新一次页面后,原本被限制访问的document对象,居然可以访问了! 简单的F5刷新页面后: 对于Firefox ,则更不堪,从一开始就没有做任何限制 那么,如何利用这个特性,或者说是bug? 在flash的as 脚本中,直接调用 window.location.reload(); 刷新当前页面,就可以访问当前页面的document对象了。 在这里,还可以在AS中通过捕获访问docuemnt的异常来判断浏览器是否是IE,也算是一种fingerprint。 该Bug发现者的原文在这里 |
IE中限制flash访问document对象的一个bug
最新推荐文章于 2022-03-02 02:15:39 发布