0

我经营一个 CMS 网站(类似 YouTube 的视频服务器),它允许用户在网络上的其他地方嵌入视频链接,即 www.vimeo.com/videos/sjek3469df

是否有人可以输入可能感染我的网站的任何类型或 URL“链接”?

提前谢谢大家!

4

1 回答 1

1

这实际上取决于您的网站是如何设置的,但是是的,会有 XSS 问题。至少,我会建议允许的视频主机白名单(具有特定的 URL 模式,而不仅仅是可接受的域)。您还应该考虑解析 URL 以获取视频 ID,并使用它们在每个主机的基础上生成您自己的嵌入代码。这会给你更多的定制能力,而不仅仅是更多的安全性。

于 2015-01-03T10:37:07.303 回答