验证/允许YouTube嵌入代码

Question

希望这是一个简单的问题。我有一个简单的自定义论坛在我的网站上写的PHP。出于安全原因，我不允许在论坛帖子中使用任何HTML。我只允许某些BBCode标记。然而，我想允许嵌入式YouTube视频。

所以我的问题是:验证YouTube嵌入代码的最佳(最安全)方法是什么？YouTube目前正在使用iframe嵌入视频，但显然我不能只允许使用iframe标签。我还需要确保iframe的src是一个YouTube URL，并确保iframe代码中没有其他恶意代码。

Answer 1

你应该允许用户使用类似这样的东西：

[youtube]http://www.youtube.com/watch?v=te-TiL9YVaE[/youtube]

然后在显示消息时使用PHP将其转换为嵌入代码：

function bb_youtube($post) {
    return preg_replace(
                            "#\[youtube].*?v=([^&]+).*?\[/youtube\]#im",
                            '<object width="480" height="385"><param name="movie" value="http://www.youtube.com/v/$1?fs=1"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/$1?fs=1" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="480" height="385"></embed></object>',
                            $post
                           );
}

Answer 2

最安全的方法是创建一个youtube标签。http://www.youtube.com/watch?v=PVHzXnS5Gms可以变成[youtube v='PVHzXnS5Gms'][/youtube] (或者你选择的语法)。

要将此代码转换为YouTube嵌入代码，请获取<object width="640" height="385"><param name="movie" value="http://www.youtube.com/v/VIDEO_ID?fs=1&amp;hl=en_US"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/VIDEO_ID?fs=1&amp;hl=en_US" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="640" height="385"></embed></object>并将VIDEO_ID替换为标识符。