Medium.com позволяет вам вставить ссылку в ваш пост (гист или видео на YouTube), а затем извлечь и вставить ее как <iframe> с <script> тегами.
Как они могут сделать это безопасно, не открывая себя злоумышленникам, вставляющим свой собственный код XSS?
Я предполагаю, что они должны выполнить какую-то дезинфекцию на стороне сервера, но как они различают доверенные теги <iframe> и <script>, которые они получили, и другие, которые могут быть вставлены злоумышленником?
Я бы хотел сделать что-то похожее с Django и Medium Editor .