xss и embed

[berkut]

xss и embed

нужно реализовать функцию добавления юзерами изображений и flash с других сайтов, посредством ввода html кода, который предоставляют youtube и подобные. Но вот вопрос: можно-ли из flash добраться до кук? Можно-ли из flash выполнить js/vb скрипт в контексте страницы, в которой встроен <embed> flash?

 

[kruglov]

Если файл с флешем на чужом сайте лежит, ваших кук он никак не получит. Если же вы его к себе закачаете, тогда ой.

-~{}~ 02.10.07 20:44:

А, не, у них все плохо с этим (информация легко находится в гугле) : http://www.adobe.com/devnet/security/security_zone/mpsb02-08.html

-~{}~ 02.10.07 20:45:

А, не, все хорошо, пропатчили давно.

 

[berkut]

т.е. по идее, embed работает в контексте того домена, на котором лежит, в отличии от <script src, который может находится где угодно и выполняется всегда в контексте страницы?

По ссылке вычитал, что ещё нужно внедрять параметр AllowScriptAccess="never" ибо по дефолту always