如何验证嵌入标签?

【问题标题】:How to validate embed tag?如何验证嵌入标签?
【发布时间】:2011-10-18 20:12:55
【问题描述】:

我允许用户嵌入来自youtubevimeoscribdflickrslideshare 等的内容,因此我允许他们将嵌入代码粘贴到文本框中。

我很难弄清楚如何:

(a) 验证其确实是格式正确的嵌入代码,并且
(b) 用户是否试图获取我的恶意代码 要显示的系统。

这是一个php网站。

【问题讨论】:

  • 他们能写出整个嵌入文件有什么原因吗?只接受宽度/高度和嵌入 URL 怎么样?您甚至可以通过解析直接链接来生成嵌入 URL。
  • @OverZealous - 不......其他网站如何做到这一点?是否有解决此问题的标准化方法?

标签: php html security validation embed


【解决方案1】:

我们将实施一个系统,我们要求用户指定直接 URL,然后我们会从该页面获取适当的数据。

【讨论】:

    【解决方案2】:

    我过去使用过htmlpurifier。还有一些其他的,但这个对我来说效果最好。您可以将所有允许的代码结构列入白名单并使 html 代码标准兼容。这是抵御 XXS 攻击的良好第一道防线。

    该库非常大,如果您没有正确安装它可能会减慢您的代码速度,因此请仔细阅读安装文档。

    【讨论】:

    • 嗨 - 不确定这是否是我要寻找的 - 你是否专门将它用于嵌入代码?
    猜你喜欢
    • 1970-01-01
    • 2016-06-04
    • 2016-06-07
    • 2020-03-11
    • 1970-01-01
    • 2015-09-08
    • 2015-06-26
    • 1970-01-01
    • 2014-07-22
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode