security - 允许用户嵌入视频的主要安全问题

Question

我希望允许用户在开发中自由地在应用程序中嵌入视频，但不想将应用程序暴露给恶意使用。

考虑到这一点，允许用户嵌入来自外部资源（如 YouTube、Vimeo 等）的视频的主要安全问题是什么（XSS 等）。可以通过哪些方式使用这些漏洞？在接受/显示嵌入视频之前，你们建议应用哪种清理方法？

Answer 1

好吧，一旦您允许 Flash 应用程序出现在您的网站上，它就可以在客户端上执行您无法控制的任意数量的事情，特别是因为您可以使用 Flash 执行 JavaScript（有限制）。最好是使用白名单，并且只允许用户从您信任的地方嵌入视频。