Изменить размер шрифта


Новая темаОтветить Страница 1 из 1   [ Сообщений: 5 ]
Автор Сообщение
 Заголовок сообщения: Вставка видео из ВКонтакта
СообщениеДобавлено: 03 июн 2013 23:54 
Аватара пользователя

Зарегистрирован: 21 сен 2011 20:44
Сообщения: 1320
Откуда: 15-й квартал
Имя: Роман Шувалов
Уже не первый раз сталкиваюсь с проблемой. Нельзя в сообщение вставить видео из ВКонтакта.
Плагинчик наверняка ведь есть?

Сразу скажу, у контакта есть одна неприятная проблема, заключается она в том, что из ССЫЛКИ на видео (например, http://vk.com/video1114764_165146010) нельзя получить HTML-код для вставки, поскольку в HTML-коде требуется еще и hash-параметр. Это видно из кода, взятого непосредственно с ВКонтактовской странички:

Код:
<iframe src="http://vk.com/video_ext.php?oid=1114764&id=165146010&hash=0fa93be465b80448&hd=1" width="607" height="360" frameborder="0"></iframe>


Мы видим, что в HTML-коде есть три уникальных параметра:
- id пользователя (1114764)
- id видео (165146010)
- hash (0fa93be465b80448), отсутствующий в ссылке.

Именно поэтому плагины не умеют вставлять видео по ссылке и просят именно HTML-код, но размещают его не в сыром виде, а парсят его (вычисляют эти три параметра) и составляют новый код из этих параметров. Это сделано в целях безопасности. Работать будет примерно так. Пишем:

Код:
 [vkontakte]<iframe src="http://vk.com/video_ext.php?oid=1114764&id=165146010&hash=0fa93be465b80448&hd=1" width="607" height="360" frameborder="0"></iframe> <script> [/vkontakte]


Код вытаскивает три параметра (oid, id, hash) и составляет по ним свой HTML-код, который в результате совпадет с исходным. А если кто-нибудь попытается хакнуть систему:

Код:
 [vkontakte]<script>hack();</script>[/vkontakte]


Он получит фигу - параметры не будут обнаружены, хакерский код будет проигнорирован.

На всякий случай добавлю, что у Яндекса есть возможность на Я.Видео загружать видеоролики со сторонних сервисов, включая Контакт, но тэг [yavideo] с такими "левыми" не-яндексовскими роликами не работает. Проверял.

Vlan, есть возможность поставить плагинчик? Я его не искал, но уверен, что он есть. Если нет - напишем-с, матчасть изучена :)

_________________
Cycle Trail Map - велосипедная карта Самарской области. По ссылке подробное описание проекта и инструкция для загрузки на Андроид.
Карта теперь доступна и в велосамарском Навигаторе в качестве подложки.


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Вставка видео из ВКонтакта
СообщениеДобавлено: 04 июн 2013 08:17 
Администратор
Аватара пользователя

Зарегистрирован: 01 июл 2009 21:22
Сообщения: 7120
Откуда: Тольятти
Имя: Владимир
Для связи: icq 60163739
ВК - большая дыра. Мне новые взломы сайта не нужны. Будет обкатанный мод - поставлю. Экспериментировать нет желания.

_________________
Истина рождается в спорах, но когда страсти кипят - истина испаряется.
Изображение


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Вставка видео из ВКонтакта
СообщениеДобавлено: 04 июн 2013 12:28 
Аватара пользователя

Зарегистрирован: 21 сен 2011 20:44
Сообщения: 1320
Откуда: 15-й квартал
Имя: Роман Шувалов
Vlan писал(а):
ВК - большая дыра. Мне новые взломы сайта не нужны. Будет обкатанный мод - поставлю. Экспериментировать нет желания.


Дыра - хм, первый раз слышу, но в любом случае здесь в качестве видео вставляется <iframe> с плеером внутри, а код этого iframe задан жёстко (меняются только id), так что взломать через него не удастся. Единственный путь взломать - это обхитрить парсер, заставив его дать на выходе левый код, но выходная строка все равно будет начинаться с "vk.com/video..." и далее по тексту.

Нашёл следующее:

Цитата:
Использование BBCode
Код:
[vkvideo]<iframe src="http://vk.com/video_ext.php?oid={IDENTIFIER}&id={NUMBER}&hash={TEXT}" width="607" height="360" frameborder="0"></iframe>[/vkvideo]

Замена HTML
Код:
<iframe src="http://vk.com/video_ext.php?oid={IDENTIFIER}&id={NUMBER}&hash={TEXT}" width="607" height="360" frameborder="0"></iframe>

Подсказка
Код:
[vkvideo]HTML-код ролика (не ссылка, а именно HTML-код)[/vkvideo]


Я так понимаю, это нужно вбить где-то в админке, в настройках собственных тэгов bbcode. Никаких сторонних плагинов.

По поводу безопасности. Если в парсере bbcode нет проверки на вредные символы, то для взлома этой штуки хакеру надо написать примерно так:

Цитата:
[vkvideo]<iframe src="http://vk.com/video_ext.php?oid="</iframe> <script>alert('hacked!');</script> "&id=1111111&hash=1111111" width="607" height="360" frameborder="0"></iframe>

То есть вместо идентификатора вписать закрывающий тэг </iframe> и далее любой HTML-код. Однако, судя по тому, как работают тэги [youtube] и [yavideo], bbcode проверяет на наличие таких символов и позволяет использвать в качестве параметров только строки, состоящие из цифр, букв, подчёркиваний и т.д., в общем закрыть тэг таким образом не получится, даже закрыть кавычку от параметра нельзя, и заэкранировать последнюю кавычку (вставив "\") тоже нельзя.

Так что всё должно быть хорошо. Решение, судя по найденному в инете, довольно популярное. Не вижу повода сомневаться насчёт безопасности.

Кстати, а в настройках этих тэгов случайно не указываются допустимые символы?

_________________
Cycle Trail Map - велосипедная карта Самарской области. По ссылке подробное описание проекта и инструкция для загрузки на Андроид.
Карта теперь доступна и в велосамарском Навигаторе в качестве подложки.


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Вставка видео из ВКонтакта
СообщениеДобавлено: 04 июн 2013 12:30 
Аватара пользователя

Зарегистрирован: 21 сен 2011 20:44
Сообщения: 1320
Откуда: 15-й квартал
Имя: Роман Шувалов
P.S. и да, наверное, это непорядок? docs/CHANGELOG.html

_________________
Cycle Trail Map - велосипедная карта Самарской области. По ссылке подробное описание проекта и инструкция для загрузки на Андроид.
Карта теперь доступна и в велосамарском Навигаторе в качестве подложки.


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Вставка видео из ВКонтакта
СообщениеДобавлено: 01 ноя 2015 00:26 
Аватара пользователя

Зарегистрирован: 23 июн 2010 22:15
Сообщения: 5819
Имя: Александр
какой умный бот..

_________________
vk


Вернуться к началу
 Профиль  
Ответить с цитатой  
Показать сообщения за:  Поле сортировки  
Новая темаОтветить Страница 1 из 1   [ Сообщений: 5 ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения

Найти:


Powered by phpBB® Forum Software © phpBB Group
610nm Style by Daniel St. Jules of Gamexe.net

Русская поддержка phpBB