Я разрешаю пользователям встраивать YouTube или любой другой источник видео, прося их отправить src
код вставки, который они получают. Затем я сохраняю его в базе данных и загружаю его через iframe. Однако f есть источник, например, src="http://innocent.com/hackingContent.php"
, а затем мой сайт непримирим к атаке xss?xss-атака через iframe src
Я оцениваю, что у пользователя может быть вредоносный скрипт в этом src
, который будет загружаться, как только iframe вставляет исходный код в мой собственный html.
EDIT Что делать, если src содержит <script type="text/javascript" src="evilScript.js"></script>
. Хотя я утра, используя preg_match
, чтобы убедиться, что его URL-адрес только.
Вы имеете в виду использование библиотеки 'curl' для проверки URL? – jmishra
что-то в этом роде. Вы также можете загрузить контент и обработать его на своем сервере, чтобы убедиться, что он является законным. – hvgotcodes
Говоря о том, что, когда вы говорите «белый список источников видео», это отличается от iframe. Как это работает? Было бы полезно, если бы вы могли объяснить это в своем ответе. – jmishra