Я работаю над сайтом, который позволяет администраторам загружать произвольные SWF-файлы и вставлять их на страницу.Теоретически администраторам доверяют, но я все же хочу защитить от возможного злонамеренного администрирования или введения в заблуждение администраторов от нанесения вреда сайту.
Часть функциональности сайта заключается в том, что SWF-файлы могут связываться с содержащейся страницей браузера, когдавсе готово, и страница реагирует.
Теперь я могу придумать два способа сделать это:
- Использовать
ExternalInterface.addCallback для создания глобального обратного вызова с именем, подобным isComplete это делает логику и возвращает истину или ложь в зависимости от того, находится ли приложение Flash в завершенном состоянии.Затем просто сделайте что-то вроде setTimeout, чтобы просто вызвать эту функцию несколько раз.Я не думаю, что это потребовало бы от меня открыть allowscriptaccess для фильма. - Вставить фильм с помощью
allowscriptaccess и заставить фильм вызывать что-то вроде ExternalInterface.call('done'), когда он закончится.Похоже, эта опция требует от меня открытия allowscriptaccess, который представляет потенциальную угрозу, поскольку я не могу контролировать SWF-файлы, которые будут встроены в эту директиву.
Есть ли решение, которое я 'Мне не хватает бесконечного цикла и не требует, чтобы я открыл угрозу безопасности?