Discussion :

[Jonathan.b]

Bonjour à tous,

Je veux proposer aux membres de mon site de poster leur vidéo précédemment envoyé sur youtube, dailymotion etc.

Pour ça, je vais simplement faire un formulaire avec
- le titre
- la description
- le code html du "embed"
Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<object width="425" height="344"><param name="movie" value="http://www.youtube.com/v/knBfL-vgT3U&hl=fr&fs=1&"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/knBfL-vgT3U&hl=fr&fs=1&" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="425" height="344"></embed></object>

Il y aura une vérification par un administrateur avant validation de la vidéo mais comme le membre est libre d'envoyer n'importe quel code html, y a t-il des risques ou des failles ? injection de code, javascript etc ?

Si la réponse est oui, comment sécurisé ? regex ?

Merci d'avance

[sabotage]

Tu as le risque de voir fleurir du javascript effectivement.

Le plus simple serait que l'utilisateur fournisse seulement l'url de sa vidéo ; tu peux avec une expression reguliere controler qu'il s'agisse bien d'une url des sites concernés et tu recomposes le code HTML toi meme.

[Jonathan.b]

Oki C'est ce qui me semblait. Pas d'autres avis ?

[darkstar123456]

Pour avoir du faire la même chose que toi il y a deux ans, j'ai fait exactement ce que Sabotage a dit, pour des raisons de sécurité (et de facilité)

[Jonathan.b]

Je rouvre le sujet après avoir regardé comment fonctionne CKEditor. Je me rends compte que cette éditeur permet de passer en mode "Source" et de taper directement du code html. On peut ainsi copier/coller le lecteur de video de dailymotion par exemple.
Lorsqu'ensuite on clique sur le bouton pour voir l'aperçu, on voit bien le lecteur de vidéo se mettre en marche.

Est-ce qu'il y a une faille de sécurité possible de coté là et donc je garde cette outil juste pour les admins du site ou alors est-ce bien fait et du coup, je peux mettre cette outil à disposition du membre lambda de mon site ?

PS : Pour l'instant je transforme les liens de mes membres en lecteur de vidéo manuellement. Mes membres se plaignent de ne pas pouvoir le faire eux même...