我们有
navigateToURL((new URLRequest(urlToLoad)), "_self");
在ActionScript中。 urlToLoad 是从param收到的。
urlToLoad = loaderInfo.parameters[param]
所以,如果有人用
打电话给我们的瑞士法郎param=javascript:alert(document.domain)
它将在AS中显示经典的XSS技术。不幸的是,我们也使用它。我知道我们应该删除这种机制,但它必须等到我们切换到html5。我确实在互联网上搜索解决方案(谷歌和Bing),但找不到可接受的解决方案。
有没有办法将白名单只列入我们自己的几个功能?