flash开发中的几个安全问题

一，Security.allowDomain
? ?若没必要，建议不要使用Security.allowDomain，Security.allowDomain允许网站A的swf文件跨域调用网站B的swf文件的对象和变量，启用该函数的时候可能被其他网站调用，
? ?导致安全问题。如果一定要使用该函数，请务必对允许的域名进行白名单限制，并对数据来源进行校验。
? ?例如：域名a.com下的flash文件-a.swf，域名b.com下的flash文件-b.swf，则为了防止被a.swf调用，则b.swf需要禁止Security.allowDomain。
? ?
二，Security.allowInsecureDomain
? ?Security.allowInsecureDomain允许网站A的swf文件跨协议（http可调用https站点信息）跨域调用网站B的swf文件的对象和变量，启用该函数的时候可能被其他网站调用，导致安全问题。
? ?因此，建议禁止。
? ?
三，crossdomain.xml
? ?crossdomain.xml文件放到http://rootdomain/crossdomain.xml，用于指定该域名下的资源（图片，flash,页面内容等）是否允许远程的flash加载。如果配置不当，可能带来CSRF等攻击。
? ?安全配置示例
? ?1、对于不需要外部加载资源的网站，可以删除crossdomain.xml。
? ?2、crossdomain.xml中更改allow-access-from的domain属性为允许的域名白名单，通常应限制在允许域名的子域下。如：
? ?http://cb.qq.com/crossdomain.xml的配置： ??
? ?<cross-domain-policy>
? ? ? <allow-access-from domain="act.cb.qq.com"/>
? ? ? <allow-access-from domain="cb.qq.com"/>
? ? ? <allow-access-from domain="*.qq.com" secure="false"/>
? ?</cross-domain-policy>


四，禁止把敏感信息存储到flash shareobject
? ? shareObject可以将信息（类似cookie）存储在本地用户硬盘上（以WIN 7为例：C:Users[你的用户名]AppDataRoamingMacromediaFlash Player#SharedObjects[随机八位字符][域][进行存储控制的文件的路径，直到swf文件名]）的文件。
如果文件中存有用户或业务的敏感信息，将造成安全问题。注意：目前该文件的加密已经被破解，因此对敏感信息不能存储到shareobject对象，需要考虑存储到后台服务器。


五，安全标签的配置 ? 网页在引入flash的时候，会通过object/embed标签，在设置标签的时候，需要合理配置这些标签的属性，否则可能引起安全问题。 ? 1，allowScriptAccess：是否允许flash访问浏览器脚本，如果不对不信任的flash限制，默认会允许调用浏览器脚本，产生XSS漏洞。 ? ? ?always：总是允许HTML通信也就是Javascript执行； ? ? ?sameDomain：允许来自本域的flash与HTML通信； ? ? ?never：不允许flash与页面通信。 ? 2，allowNetworking：是否允许flash访问ActionScript中的网络API，如果不对不信任的flash限制，会带来flash弹窗、CSRF等问题。 ? ? ?all：允许所有功能，会带来flash弹窗危害； ? ? ?internal；可以向外发送请求/加载网页； ? ? ?none：无法进行任何网络相关动作