Medium.com 允许您将链接粘贴到您的帖子(要点或 YouTube 视频)中,然后它将获取并嵌入为<iframe>带有<script>标签的链接。
他们如何安全地做到这一点,而又不向插入自己的 XSS 代码的攻击者敞开大门?
我认为他们必须在服务器端进行某种清理,但他们如何区分他们检索到的受信任<iframe>和<script>标签与攻击者可能插入的其他标签?
我想用 Django 和Medium Editor做类似的事情。
问问题
89 次