我想允许用户在开发中的应用程序中自由嵌入视频,但不希望将应用程序暴露给恶意用途。
考虑到这一点,允许用户嵌入来自外部来源(如YouTube,Vimeo等)的视频的主要安全问题(XSS等)是什么?可以使用哪种方式利用此漏洞?在接受/显示嵌入视频之前,你们建议应用什么样的消毒?
答案 0 :(得分:3)
一旦你允许一个Flash应用程序在你的网站上,它可以在你无法控制的客户端上做任何数量的事情,特别是因为你可以用flash执行JavaScript(有限制)。最好是使用白名单,只允许用户嵌入您信任的地方的视频。