【发布时间】:2012-01-06 11:55:59
【问题描述】:
我刚刚写了一个 BBCode 类,用户可以使用以下方法放置图像:
[image] $image_link [/image]
我目前担心有人会放置注入代码的图片链接。
如何确定该图像确实是图像而不是代码注入的图像?
附言。用户不能上传文件,只能从其他网站链接。
【问题讨论】:
-
code-injected image links--- 这是什么鬼? -
@zerk:一个天真的用户认为
<img src="nastyscript.js" />会执行 js 而不是尝试将其呈现为图像。 -
@Marc B:是吗?我在想可能会在图像中注入一些恶意代码是一种错觉...... :-S
-
@zerkms:并非完全不可能。 zlib 之类的缓冲区溢出确实让plain-jane gif/jpeg 图像包含恶意代码,否则这些代码在其他地方完全没用。然而,现在不太可能。
-
你实际上对这些标签之间的字符串做了什么?