【发布时间】:2011-06-26 16:34:24
【问题描述】:
一位用户最近向我报告说,他们可以利用通过论坛提供给他们的 BBCode 标签 [img]。
[img=http://url.to.external.file.ext][img]
当然,它会显示为损坏的图像,但是浏览器会在那里检索文件。我自己测试过,果然是合法的。
我不知道如何防止这种类型的 XSS 注入,除了下载图像并通过 PHP 检查它是否是合法图像。这很容易被一个非常大的文件滥用。
还有其他解决办法吗?
【问题讨论】:
-
要求图片使用特定的服务,比如 imgur?
-
不,他们可以链接互联网上的任何托管图像。