从映像执行跨站点脚本

Question

我的站点上有一个富文本编辑器，我试图保护它免受XSS攻击。我想我已经处理了几乎所有的事情，但我仍然不确定如何处理图像。现在我正在使用以下正则表达式来验证图像URL，我假设它将阻止内联javascript XSS攻击：

"https?://[-A-Za-z0-9+&@#/%?=~_|!:,.;]+"

我不确定的是，这会让我在多大程度上受到来自远程映像的XSS攻击。链接到外部镜像是否会造成严重的安全威胁？

我能想到的唯一一件事是，输入的URL引用一个资源，该资源返回"text/javascript“作为其MIME类型，而不是某种图像，然后执行该javascript。

这有可能吗？有没有其他我应该考虑的安全威胁？

Answer 1

另一件要担心的事情是，您可以很容易地将PHP代码嵌入到图像中，并在大部分时间上载该代码。然后，攻击所能做的唯一一件事就是找到一种包含图像的方法。(只有PHP代码会被执行，其余的只会被回显)。检查MIME类型对此没有帮助，因为攻击者可以很容易地上传图像，其中包含正确的前几个字节，然后是任意的PHP代码。( HTML和Javascript代码也是如此)。

Answer 2

如果终端查看器位于密码保护区域，并且您的应用程序包含基于GET请求启动操作的Urls，则您可以代表用户发出请求。

示例：

• src="http://yoursite.com/deleteuser.xxx?userid=1234"
• src="http://yoursite.com/user/delete/1234"
• src="http://yoursite.com/dosomethingdangerous"

Answer 3

在这种情况下，看看它周围的上下文:用户只提供URL吗？在这种情况下，可以只验证URL、语义和MIME类型。如果用户还需要输入某种类型的标签，则必须确保除了显示图像之外，不能对它们进行任何操作。