可以将恶意代码、病毒等加载到接受嵌入链接的站点上吗？

Question

我运营着一个CMS站点(类似YouTube的视频服务器)，它允许用户在web上的其他地方嵌入视频链接，即www.vimeo.com/ videos /sjek3469df

有没有办法可以输入任何类型或URL“链接”，这可能会感染我的网站？

提前感谢所有人！

Answer 1

这真的取决于您的站点是如何设置的，但确实会有XSS方面的问题。至少，我建议为允许的视频主机建立白名单(具有特定的URL模式，而不仅仅是可接受的域)。您还应该考虑解析URL以获得视频ID，并使用这些URL在每个主机的基础上生成您自己的嵌入代码。这将为您提供更多的定制能力，而不仅仅是更高的安全性。