寻找资源解释安全风险[已关闭]

我有一个开发人员给了用户下载压缩文件的能力,其中包含一个HTML文档,该文档引用了一个相关的javascript文件和Flash文档。Flash文档接受嵌入在HTML文档中的URL作为其参数之一。我相信这个档案是用来将广告传送给某人的一种方式,某人将使用源代码在他们的网站上显示广告,但是最终用户似乎想在本地查看它。

当打开HTML文档时,将显示Flash文档,当用户单击Flash文档时,它将重定向到此嵌入的URL。但是,如果提取桌面上的存档文件并在浏览器中打开HTML文档并单击Flash对象,则不会发生任何可观察到的情况,它们将不会重定向到外部URL。

我认为这是一个安全风险,因为有人正在从本地计算机区域转移到外部区域。

我正试图以最简单的方式向最终用户解释这种安全风险。他们简单地认为它是“坏的”,当它没有坏的时候,他们就不会受到已知的脆弱性的保护。

开发人员试图解释如何将文件复制到本地IIS实例,我非常怀疑该实例是否正在用户计算机上运行,我认为这不是一个可行的解释。