我有一个网站,允许用户使用<iframe>标记嵌入他们的视频,例如。
<iframe width="560" height="315" src="http://www.youtube.com/embed/se2P7hjPanE" frameborder="0" allowfullscreen></iframe>
然而,这不是一个好主意,因为他们也可以在src属性而不是视频上输入网站。例如<iframe src="http://www.google.com"/>
无论如何都要处理这个问题?
答案 0 :(得分:1)
解析提交的网址并通过白名单对其进行过滤。列表中没有的任何内容都会被丢弃或放入队列以供管理员批准。