Как проверить тег для вставки?

Question

Я разрешаю пользователям вставлять контент из youtube, vimeo, scribd, flickr, slideshare и т. Д., И поэтому я разрешаю им вставлять код встраивания в текстовое поле.

Мне трудно понять, как:

(a) подтверждает, что это действительно правильно сформированный код для вставки и
(б) не является ли какой-либо вредоносный код, который пользователь пытается получить мой система для отображения.

Это сайт php.

Answer 1

Мы будем внедрять систему, в которой мы просим пользователя указать прямой URL, и мы идем и впоследствии получаем соответствующие данные с этой страницы.

Answer 2

Я использовал htmlpurifier в прошлом. Есть некоторые другие, но этот работал лучше для меня. Вы можете внести в белый список все разрешенные конструкции кода и сделать HTML-код совместимым со стандартом. Это хорошая первая линия защиты от атак XXS.

Библиотека довольно большая и может замедлить ваш код, если вы не установите его правильно, поэтому внимательно прочитайте документы по установке.