我在我的网站上有一个富文本编辑器,我试图防范XSS攻击。我认为我几乎处理了所有事情,但我仍然不确定如何处理图像。现在,我使用下面的正则表达式来验证图像的URL,这我假设将阻止内嵌的JavaScript XSS攻击:从图像中跨站点脚本
"https?://[-A-Za-z0-9+&@#/%?=~_|!:,.;]+"
我不知道是怎么开这让我对XSS攻击来自什么远程图像。是否将外部图像链接到严重的安全威胁?
我唯一能想到的是URL输入引用了一个资源,它返回“text/javascript
”作为它的MIME类型,而不是某种图像,然后执行该javascript。
这可能吗?我应该考虑是否存在其他安全威胁?
我也建议ha.ckers.org小抄:ha.ckers.org/xss.html – 2008-10-27 19:04:34