Le principali preoccupazioni di sicurezza nel permettere agli utenti incorporare il video
https://stackoverflow.com/questions/752859
-
09-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Voglio consentono agli utenti di incorporare liberamente i video nell'applicazione in via di sviluppo, ma non voglio esporre allora e l'applicazione per usi malevoli.
Con questo in mente, quali sono i principali problemi di sicurezza (XSS, etc) in che consente agli utenti di incorporare i video da sorgenti esterne, come YouTube, Vimeo, ecc In che modo potrebbe essere utilizzata questa exploit? Che tipo di sanificazione voi ragazzi consiglia di applicare, prima di accettare / visualizzazione di un video embed?
Soluzione
Bene, una volta si consente un'applicazione in flash per essere sul vostro sito, si potrebbe fare un qualsiasi numero di cose sul client che non avrai il controllo su, soprattutto perché è possibile eseguire JavaScript con flash (con limitazioni). Migliore è usare una whitelist, e solo consentire agli utenti di incorporare i video dai luoghi di cui ti fidi.
