常见的方式,让用户添加的iframe他们的个人资料?
在我的web应用程序,我需要让用户添加这些类型的内容,他们的个人资料:
的SoundCloud小工具,YouTube视频,其他类似的内部框架
我听说过配股用户添加HTML类型的内容可能是危险的。
哪些措施,我应该拿这么安全起见,即时通讯?
我的应用程序堆栈:
Node.js的 - express.js - 哈巴狗 - MongoDB的
谢谢!
回答如下:您需要从用户那里得到的只是URL / SRC。例如,
用户输入:https://www.youtube/embed/xxxyyyzzz
表达 :
app.get('/profile', (req, res) => {
...
console.log(youtube); // https://www.youtube/embed/xxxyyyzzz
res.render("profile", { video: youtube });
})
查看(帕格):
iframe(width='420', height='315', src=video)
渲染(HTML):
<iframe width="420" height="315" src="https://www.youtube/embed/xxxyyyzzz"></iframe>