允许用户嵌入视频的主要安全问题
我希望允许用户在开发过程中将视频自由嵌入到应用程序中,但不想将视频和应用程序暴露给恶意使用。
考虑到这一点,允许用户嵌入来自外部来源(如 YouTube、Vimeo 等)的视频的主要安全问题是什么(XSS 等)。可以以何种方式使用此漏洞? 在接受/显示嵌入视频之前,你们建议采用什么样的消毒措施?
I wanna allow users to embed videos freely in the application in developing, but do not want to expose then and the application to malicious uses.
With that in mind, what are the main security concerns (XSS, etc) in allowing users to embed videos from external sources, like YouTube, Vimeo, etc. In which way this exploits could be used? What kind of sanitization you guys recommend to apply, before accepting/displaying an embed video?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
一旦您允许 Flash 应用程序出现在您的网站上,它就可以在客户端上执行您无法控制的许多操作,特别是因为您可以使用 Flash 执行 JavaScript(有限制)。 最好是使用白名单,并且只允许用户嵌入来自您信任的位置的视频。
Well once you allow a flash app to be on your site, it could do any number of things on the client that you wont have control over, especially since you can execute JavaScript with flash (with limitations). Best is to use a whitelist, and only allow users to embed videos from places you trust.