autoriser les "embed" de videos / sécurité

04 sept. 2007, 15:21

salut,

j'aimerais pouvoir donner aux utilisateurs de mon site la possibilité d'intégrer dans les articles qu'ils publient, ces codes html fournis par les sites comme youtube, myspace etc... pour afficher des vidéos sur une page, ex :

Code : Tout sélectionner

<object width="425" height="350"><param name="movie" value="http://www.youtube.com/v/OMv80odID-0"></param><param name="wmode" value="transparent"></param><embed src="http://www.youtube.com/v/OMv80odID-0" type="application/x-shockwave-flash" wmode="transparent" width="425" height="350"></embed></object>

Comment faire pour autoriser cela sans créer des failles de sécurité en acceptant l'interprétation du html/javascript... ?

merci.

04 sept. 2007, 20:27

Tu pourrais creer une balise perso, un peu comme le BBCode genre:

[video]http://addresse/[/video]

Et apres tu recupere le tout avec des regex.

05 sept. 2007, 02:45

Oui je fais un peu comme r3drum

J'indique au visiteur d'insérer uniquement l'adresse du fichier - dans ton exemple http://www.youtube.com/v/OMv80odID-0 - puis une fonction crée le code <objet...

Je prends soin de faire un htmlentities(http://www.youtube.com/v/OMv80odID-0) dans mon code.

On pourrait aussi faire entrer tout le code puis faire une regex pour récupérer l'adresse du fichier et ensuite générer le code autour de ce fichier.

05 sept. 2007, 08:26

ah oui ok je vais essayer de construire ça a partir de l'url uniquement. merci.

autoriser les "embed" de videos / sécurité

Qui est en ligne