在设计上，JavaScript和Flash应用程序之间的ExternalInterface API调用位于同一HTML容器中（在客户端上）的安全性如何？

可以-被设计-拦截吗？

提示：ExternalInterface API参考（上文）读取


  ExternalInterface类需要用户的Web浏览器支持
  一些浏览器公开的ActiveX®或NPRuntime API
  用于插件脚本。看到
  http://www.mozilla.org/projects/plugins/npruntime.html。


谢谢

取决于您所说的拦截是什么意思？如果您相信要调用ExternalInterface的页面/沙箱，则它是安全的。我唯一想到的攻击媒介就是黑客修改__flash__toXML javascript函数。

另一个值得注意的地方是ExternalInterface.call is vulnerable to XSS attacks;因此，如果参数来自用户，则必须始终清除它们。