Vertrauensfrage: Youtubetitel einbinden

[vitus37]

Hallo,

habe mal wieder eine Frage an euch:
Bei meinem momentanen Projekt lese ich von einer Youtube-Video-Seite den Inhalt eines span-Tags der ID "eow-title" aus (um den Titel des Videos zu extrahieren) und gebe diesen im späteren auf meiner Website aus.

Logischerweise schützt sich Youtube vor XSS und maskiert deshalb alle HTML-Sonderzeichen. Wenn ich nun allerdings die Daten ausgebe maskiere ich den Titel noch ein weiteres Mal. Die Folgen sind klar:
aus & wird & und die Ausgabe im Browser lautet somit &. (etc.)

Jetzt meine Frage: Soll ich Youtube blind vertrauen und den Inhalt einfach hinnehmen und ausgeben oder lieber trotzdem nochmal Maskieren. Vielleicht gibt's auch eine ganz andere Möglichkeit? Eigentlich dürfte ja nichts passieren, aber trotzdem würde Youtube eine potentielle Gewalt über meine Website erlangen...

Danke für jeden Rat.;Jump
Gruß

 

[crash]

Wenn du die Daten richtig abgefragt hättest, dann wäre dir das nicht passiert; denn DOMDocument wandelt bei loadHTML() die Entitties um. Bei der Ausgabe wieder htmlspecialchars() und gut ist.

 

[vitus37]

Danke dir.
Das Problem an der Lösung ist nur, dass ich die Klasse simple_html_dom (PHP Simple HTML DOM Parser) für das Auslesen der HTML-Datei benutze. Die Klasse abzuändern und DOMDocument einzusetzen wäre es mir den Aufwand glaube ich nicht Wert.

Aber als ich mir gerade ein paar Sachen zu DOMDocument durchgelesen hatte, hatte ich eine andere Idee: Erst alle Entities decoden (beim Speichern) und danach alle encoden. So habe ich alle HTML-Maskierungen raus und kann danach problemlos auch nicht maskierte Zeichen umwandeln. :)
Somit also doppelt danke.^^

Gruß

 

[crash]

FluentDOM @ GitHub als aktuellere Alternative. Ein CSS-Parser ist zumindestens im Repo.