0
我的公司将允许客户发布建议到我们的网站。 此功能与Facebook分享链接非常相似。 我们的客户将输入一个网址,我们将抓取该网站,检索图像,描述并保存说明和图像网址在我们的数据库中,供其他客户以后查看。如何防止从外部网站渲染图像时的XSS攻击
我们没有足够的资源来保存/操控外在形象,除非绝对必要,现在我们将要保存图片网址和onload事件渲染。
该功能已实施,但我有一些担心,并希望得到一些专家的帮助,以确保我可以防止发生任何问题。
场景1 客户A,从网站发布5条含有大量高质量图片的建议。我是否可以在我第一次渲染并从网站中检索这些图像时阻止该网站获得性能?,只要我保留对原始网站的引用,是否知道保存本地副本是否违法?我也反对盗链,但不知道如果保留在我的硬盘驱动器是一个好主意。 我注意到Facebook并没有保存它们,它们总是呈现图像,我相信它们是这样做的,因为这是正确的方式。
b)客户B滥用此功能,他实际上尝试执行XSS攻击我如何利用Anti-XSS 4.0来确保客户不会尝试xss攻击,编码输出就足够了?有没有其他的安全风险,我不知道?
感谢您的帮助!
还要注意的是从别人拍摄图像,并在网页上显示它们是(通常)侵犯版权,可以花费你很多钱。找到一些防止用户指向他们无法合法允许您在网站中包含的图像的保护。 – 2011-04-18 11:04:09