我允许用户通过提交嵌入代码的
我估计用户可能在那个
编辑:如果src包含
src
来嵌入YouTube或任何其他视频源。然后我将其保存到数据库中,并通过iframe加载它。但是,如果有一个源,例如src="http://innocent.com/hackingContent.php"
,那么我的网站是否容易受到XSS攻击?我估计用户可能在那个
src
中放置了恶意脚本,它会在iframe将源嵌入我的html时立即加载。编辑:如果src包含
<script type="text/javascript" src="evilScript.js"></script>
怎么办?尽管我正在使用preg_match来确保它只是一个URL。
curl
库进行 URL 验证吗? - jmishra