Hauptsicherheitsbedenken in so dass Anwender Video einbetten
https://stackoverflow.com/questions/752859
-
09-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich will den Benutzern erlauben, Videos einzubetten frei in der Anwendung in der Entwicklung, aber nicht wollen, dann und die Anwendung auf bösartige Anwendungen verfügbar machen.
Mit dem im Verstand, was sind die wichtigsten Sicherheitsbedenken (XSS, etc.) in die Benutzer Videos von externen Quellen integrieren, wie YouTube, Vimeo etc. Auf welche Weise diese Exploits verwendet werden könnte? Welche Art von sanitization empfehlen euch zu bewerben, vor der Annahme / ein Video einbetten angezeigt wird?
Lösung
Nun, wenn Sie ein Flash-App erlauben, auf Ihrer Website zu sein, könnte es eine beliebige Anzahl von Dingen auf dem Client zu tun, dass Sie nicht die Kontrolle über, vor allem, da Sie JavaScript mit Blitz (mit Einschränkungen) ausführen können. Am besten ist eine Whitelist zu verwenden, und nur Benutzern erlauben, Videos von Orten einzubetten Sie vertrauen.
