Noo*_*bie 6 php security xss image csrf
通过img标记包含外部图像以及如何避免它们,我的网站上会出现哪些安全漏洞?
img
我目前只检查mime-type提交时的扩展名和图像(可以在提交后更改URL)并URL在将其放入src属性之前进行清理.
mime-type
URL
src
Rhy*_*hys 4
这里可能需要区分哪些人处于危险之中。
如果您所做的只是存储 URL,而不是将图像上传到您的服务器,那么您的网站可能是安全的,并且任何潜在风险都会针对查看您网站的用户。
从本质上讲,您信任浏览器制造商的可靠性。事情可能没问题,但如果您的用户之一使用的某些浏览器出现安全漏洞,导致错误地解析包含恶意代码的图像,那么您的用户最终将为此付出代价(您可能会发现GIFAR很有趣)。
这取决于您是否信任浏览器制造商生产安全软件,以及您是否信任您的用户不会上传可能包含某些浏览器漏洞的图像的 URL。现在安全的东西在下一个版本中可能就不安全了。
归档时间:
13 年,7 月 前
查看次数:
514 次
最近记录: