¿Debo tener en cuenta algún problema de seguridad si deseo ofrecer a los usuarios la posibilidad de incrustar iframes (para cosas como videos de Youtube) en el contenido generado en mi sitio? El contenido generado por el usuario es editable por ellos, por lo que no puedo controlar las opciones de iframe como el sandbox (aunque podría ser capaz de verificar el contenido cuando se trata del servidor e insertar las opciones correspondientes).
Si hay riesgos, estoy pensando en cualquiera de los dos
- verifica el dominio del iframe que se está insertando y solo permite seleccionar dominios como Youtube.
O
- solo permite a un grupo selecto de usuarios de confianza agregar iframes en su contenido.
Gracias.