В настоящее время я разрешаю пользователям добавлять объекты приложения/x-shockwave-flash в свои профили на моем сайте. Я только отфильтровал URL-адрес, и для типа содержимого установлено значение «application/x-shockwave-flash»Являются ли удаленные файлы флэш-памяти уязвимыми?
Есть ли у вас какие-либо уязвимости, позволяющие моим пользователям подключаться к удаленным флэш-файлам или видеофайлам?
В принципе, это должно быть безопасно, предполагая, что пользователи указывают только файл (они не записывают код вставки) и что они не могут загружать файлы на ваш сервер.
Возможно, вы захотите использовать параметры и allowScriptAccess в теге embed, в который вы вставляете SWF, чтобы ограничить возможности этих встроенных SWF. См. here.
Кроме того, я предполагаю, что на вашем сервере нет широкоформатного файла crossdomain.xml. Если вы все открываете доступ к кроссдомену, то я думаю, что возможно, что ссылка на неизвестные SWF может быть небезопасной. (Если у вас нет файла политики crossdomain.xml, вы в порядке - по умолчанию не предоставляется доступ, если не существует политики.)
Поскольку созданный пользователями Flash-контент будет размещен на других доменах, он будет изолирован от Flash-плеера и не сможет получить доступ к чему-либо критическому на домену вашего.