大佬教程收集整理的这篇文章主要介绍了允许视频嵌入时要注意哪些XSS / CSRF攻击(如果有)?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
我已经为一个网站分配了一个项目,该网站将允许用户上传视频(使用YouTube API),但更重要的是(对我而言)他们还可以提交视频嵌入代码(来自众多视频网站,YouTube,Vimeo等).
没有允许用户嵌入视频的经验:
我如何最好地防止跨站点脚本编写和/或跨站点请求伪造攻击专门针对视频嵌入?需要注意哪些常见陷阱?
最少我会考虑剥离除< object>,< param>和< embed>.但是我感觉这还不够,是吗?
编辑
也:
您认为仅在< embed src =和< param name =“ movie” value =属性中仅允许使用已知的视频域名就足以防止将流氓Flash电影嵌入这些属性中吗?
/编辑
如果它很重要,那么环境将是:
奖励积分:
是否有用于视频嵌入代码的通用最小黄金规则/代码模板,这些模板在所有可用于过滤输入内容的视频网站上均有效?
解决方法:
最危险的xss(?)就是Flash可以读取您的DOm.请不要在用户可以输入其登录数据的页面上嵌入视频.登录表单应分开.
通常,Flash嵌入使用类似于以下代码:
YouTube:
@H_772_31@<object width="425" height="350"> <param name="movie" value="http://www.youtube.com/v/AyPzM5WK8ys" /> <param name="wmode" value="transparent" /> <embed src="http://www.youtube.com/v/AyPzM5WK8ys" type="application/x-shockwave-flash" wmode="transparent" width="425" height="350" /> </object>
Vimeo:
@H_772_31@<object width="400" height="225"> <param name="allowfullscreen" value="true" /> <param name="allowscriptaccess" value="always" /> <param name="movie" value="http://vimeo.com/moogaloop.swf?clip_id=10239065&server=vimeo.com&show_title=1&show_byline=1&show_porTrait=0&color=&fullscreen=1" /> <embed src="http://vimeo.com/moogaloop.swf?clip_id=10239065&server=vimeo.com&show_title=1&show_byline=1&show_porTrait=0&color=&fullscreen=1" type="application/x-shockwave-flash" allowfullscreen="true" allowscriptaccess="always" width="400" height="225"></embed> </object> <p><a href="http://vimeo.com/10239065">La Fete (HD - 2010)</a> from <a href="http://vimeo.com/animalcolm">Malcolm Sutherland</a> on <a href="http://vimeo.com">Vimeo</a>.</p>
Metacafe:
@H_772_31@<embed src="http://www.Metacafe.com/fplayer/4317045/bmx_face_slide.swf" width="400" height="345" wmode="transparent" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" allowFullScreen="true" allowScriptAccess="always" name="Metacafe_4317045"> </embed> <br><font size = 1><a href="http://www.Metacafe.com/watch/4317045/bmx_face_slide/">BMX Face Slide</a> - <a href="http://www.Metacafe.com/">Free videos are just a click away</a></font>
启用嵌入内容的最佳解决方案是从可使用的样本中剥离标签,但不包括嵌入,参数,对象和属性列表.
请记住,某些属性可以运行javascript代码以及锚点的href …
编辑:
只允许在src和param的value属性中使用受信任的站点是防止hAx0rs做坏事的好方法,但这并不是缺陷.另一件大事:阅读有关allowScriptAccess的更多信息.您应该将其Param属性删除或将其设置为sameDomain / never.它将阻止SWF运行javascript
以上是大佬教程为你收集整理的允许视频嵌入时要注意哪些XSS / CSRF攻击(如果有)?全部内容,希望文章能够帮你解决允许视频嵌入时要注意哪些XSS / CSRF攻击(如果有)?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。