客戶喜歡他們的YouTube視頻。當他們在網站上看到一個簡潔的嵌入式視頻播放器，可以播放紀錄片《 Fido and the Bones of Spring》中的最新片段時，這給他們一種溫暖的模糊感。除了開玩笑之外，很多人都喜歡將YouTube視頻或其他有效內容嵌入其頁面的功能。 這是一個*壞*主意。嵌入任何不受信任的內容的那一刻，您肯定會被一種骯臟的方式所震撼，這種方式可以嵌入到從運行Flash電影到[Quicktime電影的](http://blog.spywareguide.com/2006/12/myspace_phish_attack_leads_use.html)事物中。`img`HTML Purifier默認允許的甚至標簽也可能很危險。不要讓任何內容告訴瀏覽器自動從另一個網站加載內容。 對我們來說幸運的是，將白名單保存可以節省一天的時間。當然，讓用戶包括任何舊的隨機Flash文件可能很危險，但是如果它來自特定網站，則可能還可以。如果沒有多少懇求可以說服樓上的人們，他們應該只是通過鏈接到他們的電影就可以解決問題，那么您可能會發現此技術非常有用。 ## Looking in 以下是允許用戶嵌入YouTube視頻的自定義代碼。這不是偏favor：此技巧很容易適用于其他形式的可嵌入內容。 通常，YouTube之類的網站會向我們提供樣板代碼，您可以將其插入文檔中。YouTube的代碼如下： ~~~ <object width="425" height="350"> <param name="movie" value="http://www.youtube.com/v/AyPzM5WK8ys" /> <param name="wmode" value="transparent" /> <embed src="http://www.youtube.com/v/AyPzM5WK8ys" type="application/x-shockwave-flash" wmode="transparent" width="425" height="350" /> </object> ~~~ 此代碼有兩點需要注意： 1. `<embed>`是W3C無法識別的，因此，如果要使用符合標準的代碼，則必須擺脫它。 2. 該代碼對于所有實例都完全相同，除了標識符AyPzM5WK8ys告訴我們要檢索哪個電影文件。 第二點的意思是，如果我們擁有像`<span class="youtube-embed">AyPzM5WK8ys</span>`您的應用程序這樣的代碼，則可以從*不受傷害地*通過HTML Purifier的這個小片段中重建完整的對象。[給我看看代碼！](http://repo.or.cz/w/htmlpurifier.git?a=blob;hb=HEAD;f=library/HTMLPurifier/Filter/YouTube.php) 以及相應的用法： ~~~ <？php $ config-> set（'Filter.YouTube'，true）; ？> ~~~ 這兩個代碼段中有一些內容，所以讓我們解釋一下。 1. 這是一個Filter對象，它攔截進出凈化器的HTML。您可以根據需要添加任意數量的過濾器對象。`preFilter()`在純化之前處理代碼，然后再`postFilter()`處理代碼。因此，我們將使用`preFilter()`來替換object標簽`span`，并將`postFilter()`其還原。 2. 第一個preg\_replace調用將替換用戶可能已嵌入到良性span標簽中的所有YouTube代碼。使用Span是因為它是內聯的，對象也是內聯的。我們非常謹慎地對span標記內的內容進行嚴格限制，好像錯誤的代碼進入那里可能會變得混亂。 3. 然后照常凈化HTML。 4. 然后，另一個preg\_replace將span標簽替換為完全成熟的對象。請注意，嵌入被刪除，并且在其位置上將data屬性添加到了對象。這使得標簽符合標準！它還破壞了Internet Explorer，因此我們在舊的嵌入代碼中添加了一些條件注釋，以使其再次起作用。一切都令人費解，但是可以。 ## 警告 上面的代碼可能有很多問題，具體取決于您的看待方式。 ### 無法更改寬度和高度 無法調整最終YouTube電影的寬度和高度。這是因為我很懶。如果您確實要讓用戶更改電影的大小，那么您需要做的就是將span標簽（以及電影ID）打包為屬性。但是，它變得復雜：惡意用戶可以指定一個非常大的高度和寬度，并嘗試使該用戶的操作系統/瀏覽器崩潰。您需要通過限制正則表達式中允許的位數來限制它，或者使用回調來檢查數字。 ### 信任媒體主持人的安全 通過將此代碼發布到我們的網站上，我們相信YouTube擁有足夠的精通技術的人員，不允許他們的用戶向Flash文件中注入惡意代碼。YouTube上的漏洞利用就是您網站上的漏洞利用。即使YouTube是由著名的Google經營，但這[并不](http://ha.ckers.org/blog/20061213/google-xss-vuln/)意味著它們是[無敵的。](http://ha.ckers.org/blog/20061208/xss-in-googles-orkut/)您正在對外部提供者進行一定程度的工作評估（就像您將用戶輸入委托給HTML Purifier一樣），并且意識到這一點很重要。 ### 寫得不好的改編損害了安全性 這應該不言而喻，但是如果您要針對Google Video等修改此代碼，請確保您做*對了*。允許過多的字符是非常容易的`postFilter()`，突然間您將XSS引入HTML Purifier的XSS free輸出中。HTML Purifier可能寫得很好，但是它無法防止在完成后引入的漏洞。 ## 幫幫忙！ 如果您為自己喜歡的視頻目標（或類似的目標）編寫過濾器，請將其發送出去，它可能會包含在核心中！