المخاوف الأمنية الرئيسية في السماح للمستخدمين بتضمين الفيديو
-
09-09-2019 - |
سؤال
أريد أن أسمح للمستخدمين بتضمين مقاطع الفيديو بحرية في التطبيق في التطوير، ولكن لا ترغب في الكشف عن ذلك، والتطبيق على الاستخدامات الخبيثة.
مع وضع ذلك في الاعتبار، ما هي المخاوف الأمنية الرئيسية (XSS، إلخ) في السماح للمستخدمين بتضمين مقاطع الفيديو من مصادر خارجية، مثل YouTube، Vimeo، إلخ. بأي طريقة يمكن استخدام هذا الاستغلال؟ ما نوع التعقيم الذي توصي إليه يا رفاق بالتقدم، قبل قبول / عرض فيديو تضمين؟
المحلول
حسنا، بمجرد أن تسمح لتطبيق Flash على موقعك، يمكنه القيام بأي عدد من الأشياء على العميل الذي لن يتحكم فيه، خاصة لأنك تستطيع تنفيذ JavaScript مع Flash (مع القيود). الأفضل هو استخدام whitelist، والسماح للمستخدمين فقط بتضمين مقاطع الفيديو من الأماكن التي تثق بها.
لا تنتمي إلى StackOverflow