是否可以安全地将变量从JavaScript传递到Flash应用程序？

JavaScript和Flash应用程序之间的调用驻留在同一个HTML容器（客户端）中，从设计上看有多安全

它可以被设计拦截吗？

提示：ExternalInterface API引用（上面）读取

ExternalInterface类需要用户的web浏览器支持 ActiveX®或某些浏览器公开的NPRuntimeAPI 用于插件脚本编写。看见

---

谢谢

取决于你所说的拦截是什么意思？如果您信任调用

ExternalInterface

的页面/沙箱，则该页面/沙箱是安全的。我唯一能想到的攻击向量是黑客修改<代码>、闪存、毒液> /COD> JavaScript函数。

---

另一点值得注意的是,；因此，如果参数来自用户，则必须始终对其进行清理。

@David您需要一个密钥才能做到这一点。在Flash应用程序中存储硬编码密钥没有意义（可以反编译），如果它在客户端上运行，它可能会被截获。@ZZZBOVM您能解释一下吗？谢谢Jonny，变量将来自后端，而不是来自用户，但感谢链接，这非常有趣。“修改_flash__toxmlJavaScript函数”意味着什么？可以预防吗？谢谢，我想知道这些有多容易破解。这些天我没有做太多的flash，但它可以提供一个有趣的XSS利用。和往常一样，如果你可以信任HTML页面，那么你应该很乐意去做——只要记住，所有数据都将以透明的方式发送，这样用户就可以看到。