类似茄子.
那个虽然补了,但是问题的实质没有解决.在插入视频的地方,allowscriptaccess还是always...不知道为毛那么喜欢always.就好比把自家大门钥匙给邻居之后还拍拍他肩膀说靠你了...
白名单也有问题,补了的那个等于白补,可以继续绕过.

===================

if(this.IE){
   html = '<embed class="BDE_Flash" allowfullscreen="true" pluginspage="http://www.macromedia.com/go/getflashplayer"';
   html += ' src="' + editor.formatURL(url) + '"';
   html += ' width="' + width + '" height="' + height + '"';
   html += ' type="application/x-shockwave-flash" wmode="transparent" play="true" loop="false"';
            html += ' menu="false" allowscriptaccess="always" scale="noborder">';
  }else{
            html = '<img class="BDE_Flash" src="http://static.tieba.baidu.com/tb/editor/images/blank.gif"';
   html += ' flash_url="' + editor.formatURL(url) + '"';
   html += ' width="' + width + '" height="' + height + '">';
  }

===================
还有个地方,百度空间里本来可以利用的,但是被前端处理了,但是在贴吧里前端没有处理,直接输出,又xss了.



顺便八卦一下,为什么whitelist里没有qq的.
附:白名单
http://www.tudou.com/v/
http://www.tudou.com/player/playlist.swf?lid=
http://6.cn/p/
http://player.ku6.com/refer/
http://img.ku6.com/common/V2.0.baidu.swf?vid=
http://tv.mofile.com/cn/xplayer.swf?v=
http://v.blog.sohu.com/fo/v4/
http://v.blog.sohu.com/fo/p4/
http://img.openv.tv/hd/swf/hd_player.swf?pid=
http://www.cnboo.com/flash/player.swf?ids=
http://video.pomoho.com/swf/out_player.swf?flvid=
http://video.cctv.com/flash/cctv_player.swf?VideoID=
http://misc.home.news.cn/video/swf/VideoDisplay.swf?videoSource=
http://mv.baidu.com/export/flashplayer.swf?playlist=
http://mv.baidu.com/export/flashplayer.swf?vid=
http://client.joy.cn/flvplayer/
http://player.youku.com/player.php/sid/
http://you.video.sina.com.cn/api/sinawebApi/outplayrefer.php
http://xiyou.cntv.cn/player/OTvideoplayer.swf
http://player.youku.com/player.php
http://player.video.qiyi.com/
在以上目录下找个能加载外域的swf或跳转的话应该不是难事吧...

类似的也可以用到百度空间上

....百度空间已经有几个xss点了...