0
我的公司將允許客戶發佈建議到我們的網站。 此功能與Facebook分享鏈接非常相似。 我們的客戶將輸入一個網址,我們將抓取該網站,檢索圖像,描述並保存說明和圖像網址在我們的數據庫中,供其他客戶以後查看。如何防止從外部網站渲染圖像時的XSS攻擊
我們沒有足夠的資源來保存/操控外在形象,除非絕對必要,現在我們將要保存圖片網址和onload事件渲染。
該功能已實施,但我有一些擔心,並希望得到一些專家的幫助,以確保我可以防止發生任何問題。
場景1 客戶A,從網站發佈5條含有大量高質量圖片的建議。我是否可以在我第一次渲染並從網站中檢索這些圖像時阻止該網站獲得性能?,只要我保留對原始網站的引用,是否知道保存本地副本是否違法?我也反對盜鏈,但不知道如果保留在我的硬盤驅動器是一個好主意。 我注意到Facebook並沒有保存它們,它們總是呈現圖像,我相信它們是這樣做的,因爲這是正確的方式。
b)客戶B濫用此功能,他實際上嘗試執行XSS攻擊我如何利用Anti-XSS 4.0來確保客戶不會嘗試xss攻擊,編碼輸出就足夠了?有沒有其他的安全風險,我不知道?
感謝您的幫助!
還要注意的是從別人拍攝圖像,並在網頁上顯示它們是(通常)侵犯版權,可以花費你很多錢。找到一些防止用戶指向他們無法合法允許您在網站中包含的圖像的保護。 – 2011-04-18 11:04:09