Tôi có trình chỉnh sửa văn bản đa dạng trên trang web của mình mà tôi đang cố gắng bảo vệ chống lại các cuộc tấn công XSS. Tôi nghĩ rằng tôi có khá nhiều thứ được xử lý, nhưng tôi vẫn không chắc chắn về việc phải làm gì với hình ảnh. Ngay bây giờ tôi đang sử dụng regex sau đây để xác nhận URL hình ảnh, mà tôi giả định sẽ chặn inline javascript tấn công XSS:Viết kịch bản chéo từ một Hình ảnh
"https?://[-A-Za-z0-9+&@#/%?=~_|!:,.;]+"
Những gì tôi không chắc chắn về là cách mở này rời khỏi tôi để tấn công XSS từ hình ảnh từ xa. Liên kết tới một hình ảnh bên ngoài có phải là mối đe dọa bảo mật nghiêm trọng không?
Điều duy nhất tôi có thể nghĩ là URL đã nhập tham chiếu đến tài nguyên trả về "text/javascript
" làm loại MIME thay vì một số loại hình ảnh và sau đó javascript đó được thực thi.
Điều đó có khả thi không? Có bất kỳ mối đe dọa bảo mật nào khác mà tôi nên cân nhắc không?
tôi cũng khuyên các cheat sheet ha.ckers.org: ha.ckers.org/xss.html –