考虑使用某种伪模板,利用oEmbed。oEmbed是链接到视频的安全方式(作为内容所有者,您不允许直接嵌入,而是引用可嵌入的内容)。
例如,您可以编写一个解析器来搜索类似以下内容的东西:
[embed]http://oembed.link/goes/here[/embed]
接下来,您可以使用众多的PHP oEmbed库之一从提供的链接请求资源,并用真正的嵌入代码替换伪嵌入代码。
希望这能帮到您。
最好的方法是拥有一个允许的白名单标签,并删除其他所有内容。还需要过滤这些标记的所有属性,以删除“onsomething”属性。
为了进行正确的解析,您需要使用XML解析器。 XMLReader和XMLWriter非常适合做到这一点。您从XMLReader读取数据,如果标记在白名单中,则将其写入XMLWriter。在过程结束时,您可以在XMLWritter中获得已解析的数据。
这个的代码示例是this script。它在白名单中具有test和video标签。如果您提供以下输入:
<z><test attr="test"></test><img />random text<video onclick="evilJavascript"><test></test></video></z>
<div><test attr="test"></test>random text<video><test></test></video></div>
我会让用户输入视频的URL。从那里,您可以自己插入适当的代码。这对他们来说更容易,对您来说更安全。
如果遇到未知的URL,只需记录下来,并添加支持它所需的代码。