2012-10-02 38 views
1

在播放框架中,Flash cookie未簽名,使用戶可以對其進行修改。當我在我的模板,用它來從一個請求傳遞錯誤信息到另一個,並打印這樣通過Flash播放框架xss成功/錯誤消息

&{flash.error} 

錯誤消息可能包含一個邪惡的HTML注入代碼。 這正是框架教程告訴我要做的事情,所以它真的是一個安全漏洞,或者我只是偏執狂?

回答

0

這取決於你從哪裏獲取flash值。如果您是通過您設置的腳本中的字符串生成的,那麼這很好,但是當您使用該機制回發用戶輸入時,會遇到安全問題。