最近TX这边不断反馈我们游戏内部存在XSS漏洞要求我们进行代码修改。

netice 现在来扫盲下XSS漏洞，

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

说明图（来自网络）：

作为一个flasher来说 我列举下flash下的一些产生XSS漏洞的行为

1 第一种情况

而在flash里面的表现是什么呢？  相信你用过  TextField 吧，特别是 TextField的type属性 = TextFieldType.INPUT  时候。而你的文本又设置了htmlText 富文本显示。这时候这个swf本身就存在了 XSS漏洞，因为这个文本可以输入html携带一些有害的参数进去。例如：在你的文本里面切入他自己的网页、JS 等等。

2 第二种情况 

你的flash里面使用了以下代码 

Security.allowDomain("*");
       Security.allowInsecureDomain("*");

这2句代码的作用类似，都是准许别的脚本调用本swf下脚本作用。如果你不期望坏银们通过另一个程序调用你的程序来做坏事的话，最好去掉这两种写法。

3 第三种情况

虽然这种情况不在swf内部，但是与第二种情况效果类似

就是你嵌入swf的html页面中 有个  "AllowScriptAccess"的属性，如果你设置成了"always"或者空 都是危险的，最好设置成 "sameDomain" 或者 "never"

关于 XSS漏洞还有很多是 关于JS和html的，太多，我只是列举了flash下存在的一些问题。有安全兴趣的同学可以继续深入研究。此文只是扫盲下。

---------------------------------------------------------------------------分割线--------------------------------------

以上都是针对flasher如何避免swf存在漏洞，如果黑客真想用swf来入侵用户，就变的很容易了。

他可以自己编写swf语句，一旦你打开了他的swf文件，swf里面获取用户的本地cookies 然后发给黑客，黑客可以用cookies冒充用户登录其一些帐号。

一些黑客把自己的swf上传到一些知名网站，例如（以前QQ空间可以直接链接SWF的 还有很多论坛 都可以嵌入SWF ）

你会很放心地打开他们，很快中招。

所以：

1 自动登录有风险，尽量不要自动登录和记住登录，他们都是通过cookies实现的，一旦cookies被窃取，你的帐号也相当于被窃取。

2 不要随便打开陌生网站，陌生swf。