Делаю один проект, в нем авторы могут создавать посты
Так вот, свой редактор решил пока не делать, а скачать уже готовое решение. И там есть возможность вставлять видео по ссылке, и получается что это видео вставляется как бы во iframe
На сколько вообще безопасно давать пользователям такую возможность? Можно ли что то делать через iframe?
Любые подобные вставки нужно парсить и принимать вставки только с нужных источников. Конечно, если разрешить любые вставки, вам быстро навставляют майнеров биткойнов.
Artem0071, да. Лучше эту возможность отключить совсем. Безопасность важнее. Или же. если это возможно, принимать вставки только со списка доверенных доменов, например только с известных видео-хостингов.
Совершенно небезопасно. Через iframe делать можно, но аккуратно. Например, обернув его в CSP. Если у вас пользователи заливают видео на какой-то ваш сервер, и потом оно проигрывается оттуда, то CSP поможет. Если же туда можно воткнуть видео с любого источника, то могут быть проблемы в части безопасности.
Средний
