Principais preocupações de segurança em permitindo que os usuários incorporar vídeo
https://stackoverflow.com/questions/752859
-
09-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu quero permitir que os usuários incorporar vídeos livremente na aplicação no desenvolvimento, mas não deseja expor em seguida, e o aplicativo para usos maliciosos.
Com isso em mente, quais são as principais preocupações de segurança (XSS, etc) em que permite aos usuários incorporar vídeos a partir de fontes externas, como YouTube, Vimeo, etc. De que forma este exploits poderiam ser usados? Que tipo de sanitização vocês recomendam para aplicar, antes de aceitar / exibindo um vídeo incorporação?
Solução
Bem, uma vez que permitem que um aplicativo flash para estar no seu site, ele pode fazer qualquer número de coisas no cliente que você não tem controle sobre, especialmente desde que você pode executar JavaScript com flash (com limitações). Melhor é usar uma whitelist, e só permitem que os usuários incorporar vídeos de lugares que você confia.
