15 ноября 2006 в 16:29
Хочу разрешить юзерам вставку флэша в посты (YouTube и т.д.) для этого надо разрешить тег object
Насколько это безопасно?
Вставка флэша
Главные вкладки
15 ноября 2006 в 16:29
Комментарии
Тоже как то интересовала данная тема, в закладках остались следующие ноды: (может пригодится)
А может стоит попробовать модуль flash_filter
http://drupal.org/node/96261
Также ноды по теме
http://drupal.org/node/80776
Также
http://drupal.org/node/66035
(здесь ссылка на другую возможность)
Спасибо за ссылки, пригодяться
Но меня волнует вопрос безопасности. Т.е. разрешу я вставлять флеши и придет ко мне злой хакер и внедрит злонамеренный скрипт во флэше. Возможно ли такое?
ДА возможно
http://www.symantec.com/enterprise/security_response/weblog/2006/07/mysp...
в основном атака идет на клиентов, но кто застрахует вас от того, что хакер получит ваши куки, и тогда сможет творить на сайте что захочет.
Статьи по теме (English)
http://www.cgisecurity.com/lib/flash-xss.htm
http://www.webpronews.com/webdevelopment/webapplications/wpn-27-20050830...
http://www.microsoft.com/technet/security/Bulletin/MS06-020.mspx
http://www.securiteam.com/securitynews/5PP110035W.html
В общем как всегда, можно доверять лишь проверенным людям
Спасибо за инфу. Наверное пока воздержусь до следующего позыва
Пришел второй позыв попробовал вставить виде с youtube и google video
Сделал новый формат в который добавил теги
<object> <param> <embed>.видео с youtube вставляется нормально, а с гуглом проблемы.
Формат кода у них примерно такой
<embed style="width:400px; height:326px;" id="VideoPlayback" type="application/x-shockwave-flash" src="http://video.google.com/googleplayer.swf?docId=6542896762943087594&hl=en" flashvars=""> </embed>Но почему-то из него друпал вырезает type="application/x-shockwave-flash" и flashvars="" в результате размер ролика оч. маленький.
Никто не знает где грабли?
С Full HTML проблем нет, но мне не хочется его раздавать пользователям.
А зачем самому с нуля начинать, ведь есть фильтр
http://drupal.org/project/embedfilter
т.е. как минимум можно его взять за основу
Этот фильтр помогает ограничить вставку объектов только определенными сайтами. В общем для безопасности.
в последней версии модуля добавили поддержку
* mov, mp4, 3gp, 3g2 (handled by Quicktime Player)
* rm (handled by Real Player)
* flv (handled by FlowPlayer)
* swf (handled by Macromedia Flash Player)
* dir, dcr (handled by Macromedia Shockwave Player)
* wmv (handled by Windows Media Player)
* ogg theora (handled by Cortado Java Applet)
* Youtube Videos
* Google Videos
http://drupal.org/project/video
Т.е. если совсем никак, то можно подсмотреть какой код будет генерировать этот модуль.
есть вариант переделать код гугля по типу youtube просто не хочется все усложнять юзерам такие тонкости неинтересны. video не пробовал еще но он помоему слишком грамоздкий