3

我被分配了一个网站项目,允许用户上传视频(使用 YouTube API),但更重要的是(对我而言)他们还可以提交视频嵌入代码(来自众多视频网站、YouTube、Vimeo等)。

没有允许用户嵌入视频的经验:
我如何才能最好地防止专门针对视频嵌入的跨站点脚本和/或跨站点请求伪造攻击?有哪些常见的陷阱需要注意?

至少我会考虑去除除<object>,<param>和之外的所有标签<embed>。但我有一种感觉,这还不够,不是吗?

编辑
另外:
您认为在<embed src=and<param name="movie" value=属性中只允许已知的视频域名是否足以防止流氓 Flash 电影被嵌入到这些属性中?
/编辑

如果它很重要,环境将是:

  • PHP/Zend 框架
  • MySQL

加分项:
对于视频嵌入代码,是否有一个通用的最低黄金规则/代码模板,该模板在我可以用来过滤输入的所有视频网站上都有效?

4

2 回答 2

2

首先也是最危险的 xss (?) 是 flash 可以读取您的 DOM……不要在用户可以输入他/她的登录数据的页面上嵌入视频。登录表单应该分开。

通常闪存嵌入使用类似于以下内容的代码:

YouTube:

<object width="425" height="350">
  <param name="movie" value="http://www.youtube.com/v/AyPzM5WK8ys" />
  <param name="wmode" value="transparent" />
  <embed src="http://www.youtube.com/v/AyPzM5WK8ys"
         type="application/x-shockwave-flash"
         wmode="transparent" width="425" height="350" />
</object>

视频:

<object width="400" height="225">
  <param name="allowfullscreen" value="true" />
  <param name="allowscriptaccess" value="always" />
  <param name="movie" value="http://vimeo.com/moogaloop.swf?clip_id=10239065&amp;server=vimeo.com&amp;show_title=1&amp;show_byline=1&amp;show_portrait=0&amp;color=&amp;fullscreen=1" />
  <embed src="http://vimeo.com/moogaloop.swf?clip_id=10239065&amp;server=vimeo.com&amp;show_title=1&amp;show_byline=1&amp;show_portrait=0&amp;color=&amp;fullscreen=1" type="application/x-shockwave-flash" allowfullscreen="true" allowscriptaccess="always" width="400" height="225"></embed>
</object>
<p><a href="http://vimeo.com/10239065">La Fete (HD - 2010)</a> from <a href="http://vimeo.com/animalcolm">Malcolm Sutherland</a> on <a href="http://vimeo.com">Vimeo</a>.</p>

元咖啡馆:

<embed src="http://www.metacafe.com/fplayer/4317045/bmx_face_slide.swf" width="400" height="345" wmode="transparent" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowFullScreen="true" allowScriptAccess="always" name="Metacafe_4317045"> </embed>
<br><font size = 1><a href="http://www.metacafe.com/watch/4317045/bmx_face_slide/">BMX Face Slide</a> - <a href="http://www.metacafe.com/">Free videos are just a click away</a></font>

启用嵌入内容的最佳解决方案是从可以使用的样本中去除嵌入、参数、对象和属性列表的例外标签。

请记住,某些属性可以运行 javascript 代码以及锚的 href...

编辑: 在 src 和 param 的 value 属性中只允许受信任的站点是防止 hAx0rs 做坏事的好方法,但它并非完美无缺。另一件大事:阅读有关 allowScriptAccess 的更多信息。它是一个 Param 的属性,您应该删除或设置为 sameDomain / never。它将阻止 SWF 运行 javascript :)

于 2010-03-18T23:29:51.007 回答
1

为什么不访问所有站点,保存它们的嵌入代码,然后只允许您的用户提交所需的站点参数?

于 2010-03-18T17:24:50.550 回答