youtube、vimeo、scribd、flickr、slideshareなどのコンテンツを埋め込むことを許可しているため、埋め込みコードをテキストボックスに貼り付けることができます。埋め込みタグを検証する方法は?
私はどのように考え出す苦労しています:
(a)は(b)のユーザーであることを任意の悪意のあるコードのではないかどうか その確かに正しく形成され埋め込みコードことと
を検証私の システムを表示しようとしています。
これはPHPのウェブサイトです。
ユーザーに直接URLを指定して、そのページから適切なデータを取得して取得するシステムを実装します。
私は過去にhtmlpurifierを使用しました。いくつか他のものがありますが、これは私のために最善を尽くしました。許可されているすべてのコード構造をホワイトリストに登録し、標準のHTMLコードに準拠させることができます。それはXXS攻撃に対する最初の防衛線です。
ライブラリは非常に大きく、正しくインストールしないとコードが遅くなる可能性がありますので、インストールドキュメントをよく読んでください。
こんにちは - それが私が探しているものなのかどうかはわかりません - あなたは埋め込みコードのためにこれを特に使用しましたか? – siliconpi
埋め込み全体を書き込める何らかの理由はありますか?幅/高さと埋め込みURLのみを受け入れるのはどうでしょうか?直接リンクの解析から埋め込みURLを生成することさえ可能かもしれません。 – OverZealous
@OverZealous - いいえ...他のサイトはどのようにこれをしていますか?これに取り組むための標準化された方法はありますか? – siliconpi