У меня была дискуссия с моим коллегой о безопасности Flash.Мы находимся на этапе планирования некоторых вещей для нашего веб-проекта, который использует плагин Flash для отображения контента.Нам нужно динамически получать настройки для приложения Flash с сервера, используя JSON.
Предложение, которое я предложил, заключалось в том, чтобы сохранить дополнительный HTTP-запрос для извлечения файла данных после загрузки плагина и встраивания JSON.прямо на странице, содержащей плагин Flash.Flash запустил бы функцию Javascript, которая возвращала бы десериализованные данные JSON в него.
Мой коллега выступил против этого предложения со значительными "проблемами безопасности".
Я полагаю, что разница между этими данными практически равна нулю.два подхода, помимо того, что его подход требует дополнительного HTTP-запроса.Все это клиент / сервер, и клиенту никогда не следует доверять.Если я хочу изменить данные в запросе JSON, я могу сделать это в обоих случаях.Взлом файла немного сложнее взломать, но это возможно с помощью пользовательского HTTP-прокси.
Что вы думаете?