Principales préoccupations de sécurité en permettant aux utilisateurs d'intégrer la vidéo

Question

Je veux permettre aux utilisateurs d'intégrer des vidéos librement dans l'application en développement, mais ne veulent pas exposer alors et l'application à des usages malveillants. Dans cet esprit, quelles sont les principales préoccupations de sécurité (XSS, etc) en permettant aux utilisateurs d'intégrer des vidéos de sources externes, comme YouTube, Vimeo, etc. De quelle manière ces exploits pourraient-ils être utilisés? Quel genre de désinfection vous recommandez-vous d'appliquer, avant d'accepter/d'afficher une vidéo intégrée?

Answer 1

Eh bien, une fois que vous autorisez une application flash à être sur votre site, il peut faire un certain nombre de choses sur le client que vous ne contrôlez pas, d'autant plus que vous pouvez exécuter JavaScript avec flash. Le mieux est d'utiliser une liste blanche et d'autoriser uniquement les utilisateurs à intégrer des vidéos à partir d'endroits auxquels vous faites confiance.