Hallo,
habe mal wieder eine Frage an euch:
Bei meinem momentanen Projekt lese ich von einer Youtube-Video-Seite den Inhalt eines span-Tags der ID "eow-title" aus (um den Titel des Videos zu extrahieren) und gebe diesen im späteren auf meiner Website aus.
Logischerweise schützt sich Youtube vor XSS und maskiert deshalb alle HTML-Sonderzeichen. Wenn ich nun allerdings die Daten ausgebe maskiere ich den Titel noch ein weiteres Mal. Die Folgen sind klar:
aus & wird & und die Ausgabe im Browser lautet somit &. (etc.)
Jetzt meine Frage: Soll ich Youtube blind vertrauen und den Inhalt einfach hinnehmen und ausgeben oder lieber trotzdem nochmal Maskieren. Vielleicht gibt's auch eine ganz andere Möglichkeit? Eigentlich dürfte ja nichts passieren, aber trotzdem würde Youtube eine potentielle Gewalt über meine Website erlangen...
Danke für jeden Rat.;Jump
Gruß
habe mal wieder eine Frage an euch:
Bei meinem momentanen Projekt lese ich von einer Youtube-Video-Seite den Inhalt eines span-Tags der ID "eow-title" aus (um den Titel des Videos zu extrahieren) und gebe diesen im späteren auf meiner Website aus.
Logischerweise schützt sich Youtube vor XSS und maskiert deshalb alle HTML-Sonderzeichen. Wenn ich nun allerdings die Daten ausgebe maskiere ich den Titel noch ein weiteres Mal. Die Folgen sind klar:
aus & wird & und die Ausgabe im Browser lautet somit &. (etc.)
Jetzt meine Frage: Soll ich Youtube blind vertrauen und den Inhalt einfach hinnehmen und ausgeben oder lieber trotzdem nochmal Maskieren. Vielleicht gibt's auch eine ganz andere Möglichkeit? Eigentlich dürfte ja nichts passieren, aber trotzdem würde Youtube eine potentielle Gewalt über meine Website erlangen...
Danke für jeden Rat.;Jump
Gruß