我在我的網站上有一個富文本編輯器,我試圖防範XSS攻擊。我認爲我幾乎處理了所有事情,但我仍然不確定如何處理圖像。現在,我使用下面的正則表達式來驗證圖像的URL,這我假設將阻止內嵌的JavaScript XSS攻擊:從圖像中跨站點腳本
"https?://[-A-Za-z0-9+&@#/%?=~_|!:,.;]+"
我不知道是怎麼開這讓我對XSS攻擊來自什麼遠程圖像。是否將外部圖像鏈接到嚴重的安全威脅?
我唯一能想到的是URL輸入引用了一個資源,它返回「text/javascript
」作爲它的MIME類型,而不是某種圖像,然後執行該javascript。
這可能嗎?我應該考慮是否存在其他安全威脅?
我也建議ha.ckers.org小抄:ha.ckers.org/xss.html – 2008-10-27 19:04:34