私は、BBコードのクラスを書いて、ユーザーが使用して画像を置くことができます:画像が実際に画像であるかどうかを確認するには?
[image] $image_link [/image]
私は現在、コードを注入した画像へのリンクを置くことができる人を心配しています。
画像が実際に画像で、コードが挿入された画像ではないことを確認するにはどうすればよいですか?
ps。ユーザーはファイルをアップロードすることはできず、他のウェブサイトからリンクするだけです。
現在の実装では何も問題はないと心配しないでください。
srcのプロパティ値がimgの場合、タグブラウザはイメージとして表示しようとしますが、不可能な場合は何も行いません。
zerkmsが正しいです。悪意のあるユーザーは、HTTPロケーションヘッダーを使用して訪問者のブラウザを別の場所(ビデオカウントのインフレーション)に送信したり、Cookieの注入を行うことができます。プロフェッショナルなウェブサイトには、有効なファイル拡張子(YouTubeではあまり役に立ちません)が必要です。また、画像自体をプロキシする(GitHub、SSLを追加する)か、フォーマットを検証します。 –
私は主にXSSを恐れていました。 – Aristona
'コードが挿入された画像リンク' --- wtfはこれですか? – zerkms
@zerk: '
'がイメージとしてレンダリングするのではなくjsを実行すると仮定しているnaiiveユーザ。 –
@Marc B:そうですか?私は画像にいくつかの悪意のあるコードを挿入する可能性があるという妄想だと思っていました...:-S – zerkms