防止flash容器页面的跨站脚本攻击

Question

我有一个具有flex应用程序的网站。flex应用程序没有用户输入-除了用于导航的单击输入。该网站也不使用脚本语言--即没有php、asp、jsp或cfm。

该网站只由一个页面组成，其中包含flex应用程序的flash文件。这个页面的源代码在这里：http://pastebin.com/n5b4RxqT

我被告知(由我的客户使用的一个软件程序)，这个网站容易受到反射型XSS攻击，并被建议‘杀毒’所有用户输入。

我是一个关于XSS的新手，我想问一下AFAIK没有用户输入。我应该清理什么以及如何清理？

提前感谢

Answer 1

使用AC_OETags是一种古老的做法，已被弃用。您想要做的是使用SWFObject，它现在是Flash Builder4中的默认设置。