python - Medium.com 如何在不受 XSS 攻击的情况下允许嵌入?
问题描述
Medium.com 允许您将链接粘贴到您的帖子(要点或 YouTube 视频)中,然后它将获取并嵌入为<iframe>带有<script>标签的链接。
他们如何安全地做到这一点,而又不向插入自己的 XSS 代码的攻击者敞开大门?
我认为他们必须在服务器端进行某种清理,但他们如何区分他们检索到的受信任<iframe>和<script>标签与攻击者可能插入的其他标签?
我想用 Django 和Medium Editor做类似的事情。
解决方案
他们使用 embed.ly
- 不允许标签
- 仅允许审核资源
推荐阅读
- mysql - 有没有办法通过“WITH”语句获得输出?
- php - preg_match 的 $matches 不返回任何匹配项
- angular - 为什么我的 routerLink 没有显示我的 CalendarComponent
- javascript - 如何将自定义道具传递给单个 SPA 子 React 应用程序?
- javascript - 反应表单验证
- session - TYPO3 / Extbase - 切换到另一个 fe_user - 最后回到原始用户
- xcode - React Native:xcode 在设备上构建成功,但未连接到 Metro Builder
- r - 在R中提取url的最后一部分和倒数第二部分
- airflow - 指定一组气流任务在其他任务之前运行的方法(顺序不变)?
- python - 为什么用于展平 n 维可迭代列表的“for for”习语有效?