http://dsecrg.com/files/pub/pdf/XSS_in_images_evasion_bypass_(eng).pdfを読んだ後、ユーザーからの画像のアップロードを許可すると、XSS攻撃にさらされることは明らかです。
アップロードされた画像をXSS攻撃に対してスクリーニングする方法のPHPの例を見つけることができませんでした。
私が使用しているCodeIgniter用のものを見つけました。関数はですがxss_clean($file, IS_IMAGE)
、ドキュメントが1文しかないため、どのように機能するのかわかりません。フォーラムのコメントによると、誤検知の割合が不当に高いため、本番環境では使用できません。
アップロードされた画像内でXSS攻撃を防ぐために何をお勧めしますか?