IE中限制flash访问document对象的一个bug

作者:

虽然IE备受批评,但是从某些安全性上来说,IE还是做的挺不错的。
比如IE中iframe拦截本地cookie,IE在iframe里实现一个security属性。这些特性都是FF没有的。

而今天则看到了另外一个安全问题。
在浏览器里,如果直接访问某个swf文件,浏览器会自动加上embed标签

比如,直接访问 http://www.fvck.com/svck.swf
那么,
对于FF(Firefox 3.0.3测试),页面源代码为:

<embed height="100%" width="100%" name="plugin" src="http://www.fvck.com/svck.swf" type="application/x-shockwave-flash"/>

对于IE(IE7测试),会自动调用res://mshtml.dll/objectembed_neutral.js 来生成页面,页面代码为

<html><head><script src="res://mshtml.dll/objectembed_neutral.js"></script></head><body objectSource="http://www.fvck.com/svck.swf" onload="ObjectLoad();" leftmargin=0 topmargin=0 scroll=no> <form id="objectDestination"></form> </body></html>

注意到,这两个页面的embed标签里面,都没有设置allowScriptAccess属性的值。

Flash 8 以后, allowScriptAccess 默认值是 sameDomain ,我的flash版本是 9.0.124 ,所以在这里应该也是 sameDomain,就是说,svck.swf可以访问当前html里的js和DOM对象

在IE里,认为这样自动化生成的页面是不怎么安全的,所以IE做了一件事情,就是限制这个flash访问当前窗口的document 对象

这本来是很好的,但是IE居然存在这样一个bug (存在IE6 /IE7 / IE8 Betas 中):

刷新一次页面后,原本被限制访问的document对象,居然可以访问了!

简单的F5刷新页面后:

对于Firefox ,则更不堪,从一开始就没有做任何限制

那么,如何利用这个特性,或者说是bug?

在flash的as 脚本中,直接调用

window.location.reload();

刷新当前页面,就可以访问当前页面的document对象了。

在这里,还可以在AS中通过捕获访问docuemnt的异常来判断浏览器是否是IE,也算是一种fingerprint。

该Bug发现者的原文在这里

相关日志

抢楼还有机会... 抢座Rss 2.0或者 Trackback

发表评论