我允许用户嵌入youtube,vimeo,scribd,flickr,slideshare等内容,因此我允许他们将嵌入代码粘贴到文本框中。
我很难搞清楚如何:
(a)验证其确实是一个正确形成的嵌入代码和
(b)用户是否试图获取我的恶意代码 系统显示。
这是一个php网站。
答案 0 :(得分:0)
我过去曾使用htmlpurifier。还有其他一些,但这个对我来说是最好的。您可以将所有允许的代码构造列入白名单,并使html代码符合标准。这是抵御XXS攻击的良好第一道防线。
库非常大,如果您没有正确安装它可能会降低代码速度,因此请仔细阅读安装文档。
答案 1 :(得分:0)
我们将实施一个系统,我们要求用户指定直接URL,然后我们继续从该页面获取适当的数据。