1

我希望允许用户在开发中自由地在应用程序中嵌入视频,但不想将应用程序暴露给恶意使用。

考虑到这一点,允许用户嵌入来自外部资源(如 YouTube、Vimeo 等)的视频的主要安全问题是什么(XSS 等)。可以通过哪些方式使用这些漏洞?在接受/显示嵌入视频之前,你们建议应用哪种清理方法?

4

1 回答 1

3

好吧,一旦您允许 Flash 应用程序出现在您的网站上,它就可以在客户端上执行您无法控制的任意数量的事情,特别是因为您可以使用 Flash 执行 JavaScript(有限制)。最好是使用白名单,并且只允许用户从您信任的地方嵌入视频。

于 2009-04-15T17:38:03.527 回答