Основные проблемы безопасности, связанные с разрешением пользователям вставлять видео
-
09-09-2019 - |
Вопрос
Я хочу разрешить пользователям свободно встраивать видео в разрабатываемое приложение, но не хочу подвергать приложение злонамеренному использованию.
Имея это в виду, каковы основные проблемы безопасности (XSS и т. д.), позволяющие пользователям встраивать видео из внешних источников, таких как YouTube, Vimeo и т. д.?Каким образом можно использовать этот эксплойт?Какую обработку вы рекомендуете применить перед принятием/отображением встроенного видео?
Решение
Что ж, как только вы разрешите Flash-приложению быть на вашем сайте, оно сможет делать на клиенте любое количество вещей, над которыми вы не сможете контролировать, тем более что вы можете выполнять JavaScript с помощью Flash (с ограничениями).Лучше всего использовать белый список и разрешать пользователям вставлять видео только из тех мест, которым вы доверяете.