Mam na mojej stronie edytor tekstu formatowanego, który staram się chronić przed atakami XSS. Myślę, że mam pod ręką wszystko, ale nadal nie jestem pewien, co robić z obrazami. Teraz używam następujące regex do sprawdzania poprawności adresów URL obrazu, który Jestem zakładając blokuje inline JavaScript ataki XSS:Skrypty Cross-site z obrazu
"https?://[-A-Za-z0-9+&@#/%?=~_|!:,.;]+"
Co nie jestem pewny jest jak otwarte pozostawia mnie na ataki XSS od zdalny obraz. Czy połączenie z obrazem zewnętrznym stanowi poważne zagrożenie dla bezpieczeństwa? Jedyną rzeczą, o jakiej mogę pomyśleć, jest to, że wprowadzony adres URL odwołuje się do zasobu, który zwraca "text/javascript
" jako typ MIME zamiast jakiegoś obrazu, a następnie javascript jest wykonywany.
Czy to możliwe? Czy jest jakieś inne zagrożenie bezpieczeństwa, które powinienem wziąć pod uwagę?
polecam również ha.ckers.org ściągawki: ha.ckers.org/xss.html –