xss атака через iframe src

Question

Я разрешаю пользователям встраивать YouTube или любой другой источник видео, только прося их предоставить src кода встраивания, который они получают. Затем я сохраняю его в базе данных и загружаю через iframe. Однако, если есть источник, например, src="http://innocent.com/hackingContent.php", то уязвим ли мой сайт к атаке xss?

Я предполагаю, что у пользователя может быть вредоносный скрипт в этом src, который будет загружаться, как только iframe встраивает источник в мой собственный html.

РЕДАКТИРОВАТЬ Что если src содержит <script type="text/javascript" src="evilScript.js"></script>. Хотя я использую preg_match только для того, чтобы убедиться, что это только URL.

Answer 1

Да, вы уязвимы.Что предотвращения плохой пользователю ссылки на порно?Или сайт, который выглядит законным и собирает имена пользователей и пароли.

Почему бы вам не создать белый список видеоисточников, которые вы примете ... проверьте отправленные URL-адреса на этих доменах и убедитесь, что URL-адрес существует.

Таким образом, люди не могут вставлять абсолютно случайные URL в ваш контент.

«Белый список» - это список значений, которые вы примете.Например, на вашем сервере, когда пользователь отправляет URL, вы принимаете что-либо из

http://www.youtube.com....

верно?Таким образом, вы составляете список всех URL-адресов, которые вы примете, а затем убедитесь, что ввод пользователя соответствует элемент из вашего списка.Если это не так, вы отвергаете это(Под соответствием мы подразумеваем «начинается с» или что-то в этом роде - очевидно, не точное совпадение)

«Черный список» будет противоположным.У вас был бы список, но это список вещей, которые вы не допустите .

Белый список == Список вещей, которые вы разрешаете
Черный список == Список вещей, которые вы не разрешаете

Answer 2

Нет, если iframe src отличается от домена, который вызывает указанный iframe, вы защищены от атак XSS. Это согласно Политике происхождения в том же домене .