在允许用户主要安全问题中嵌入视频
https://stackoverflow.com/questions/752859
-
09-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我想允许用户自由嵌入视频,在开发应用程序,但是不希望暴露,然后和应用程序恶意使用。
考虑到这一点,什么是它的方式,可以使用该漏洞的主要安全问题(XSS等)中允许用户从外部来源嵌入视频,如YouTube,Vimeo的,等等?什么样的消毒的你们推荐接受/显示嵌入视频之前提出申请,?
解决方案
那么,一旦你允许Flash应用程序将在您的网站,它可以做的客户端,你不会可以控制任意数量的事情,特别是因为你可以用闪光灯执行JavaScript(有限制)。最好是使用白名单,只允许用户从您信任的地方嵌入视频。
不隶属于 StackOverflow
