【发布时间】:2015-01-03 10:21:47
【问题描述】:
我经营一个 CMS 站点(类似 YouTube 的视频服务器),它允许用户在网络上的其他地方嵌入视频链接,即 www.vimeo.com/videos/sjek3469df
是否有人可以输入可能感染我的网站的任何类型或 URL“链接”?
提前谢谢大家!
【问题讨论】:
标签: embedding virus video-embedding
【发布时间】:2015-01-03 10:21:47
【问题描述】:
这实际上取决于您的网站是如何设置的,但是是的,会有 XSS 问题。至少,我会建议允许的视频主机白名单(具有特定的 URL 模式,而不仅仅是可接受的域)。您还应该考虑解析 URL 以获取视频 ID,并使用它们在每个主机的基础上生成您自己的嵌入代码。这将为您提供更多的自定义功能,而不仅仅是更高的安全性。
【讨论】: