从垃圾站看技术:Chrome也能调用ActiveX版的Flash
Posted | archive
无聊逛豆瓣无意中点到一个垃圾站,很让我震惊的是,这玩意儿居然是用Windows Media Player作为Adobe Flash的容器
看源码
居然是type="application/x-mplayer2"
里嵌入一个sina video的swf视频播放器。。。
从dll加载的角度证实了我这个猜想
系统里的Flash插件分两种
一个是Flash10h.ocx
,这个是所有Windows本地播放器的核心,也是IE的Flash插件的核心,基于ActiveX技术。
另一个是NPSWF32.dll
,这个是支持所有NPAPI的浏览器插件。支持NPAPI的有:Netscape, Firefox, Opera, Safari, Chrome等等。
我还猜想通过Windows Media Player加载的swf可能会绕过Chrome自身的HTTP协议栈,而直接通过WinINET发出请求,也就是说,IE的cookie可以被Chrome读取到~~~~IE的exp也有可能在Chrome下被加载和诱发~~~~
第二个猜想:Firefox里即使用了Noflash, NoScript插件,通过WMP容器加载的Flash依然能够显示。手里暂时没Firefox所以就没试了。
我又邪恶了~~~muh ha ha ha~~~~垃圾站里这种囧技术真能启发思维啊。。。。
更新:Firefox的NoScript的确对这种Flash无效
除非你勾选了Forbid other plugins.
Comments