embed 태그 xss 방어

<embed AllowScriptAcess="never">
always 는 모두 허용
samedomain은 현재 도메인만 허용
never는 모두 거부