私のサイトには、XSS 攻撃から保護しようとしているリッチテキスト エディターがあります。ほとんどすべてを処理したと思いますが、画像をどうするかについてはまだわかりません。現在、次の正規表現を使用して画像 URL を検証しています。これにより、インライン JavaScript XSS 攻撃がブロックされると想定しています。
"https?://[-A-Za-z0-9+&@#/%?=~_|!:,.;]+"
私が確信していないのは、これがリモート イメージからの XSS 攻撃にどの程度影響を与えるかということです。外部画像へのリンクは深刻なセキュリティ上の脅威ですか?
text/javascript私が考えることができる唯一のことは、入力された URL が、ある種の画像ではなく MIME タイプとして" " を返すリソースを参照し、その JavaScript が実行されるということです。
それは可能ですか?他に考慮すべきセキュリティ上の脅威はありますか?
もう 1 つ心配すべき点は、PHP コードを画像内に簡単に埋め込んで、ほとんどの場合アップロードできることです。攻撃が実行できる必要がある唯一のことは、画像を含める方法を見つけることです。(PHP コードのみが実行され、残りは単にエコーされます)。攻撃者は最初の数バイトが正しく、その後に任意の PHP コードが続く画像を簡単にアップロードできるため、MIME タイプをチェックしても役に立ちません。(HTML および Javascript コードについても同様です)。
エンド ビューアーがパスワードで保護された領域にいて、GET 要求に基づいてアクションを開始する URL がアプリに含まれている場合、ユーザーに代わって要求を行うことができます。
例:
その場合、その周りのコンテキストを見てください: ユーザーは URL のみを提供しますか? その場合、URL のセマンティクスと MIME タイプを検証するだけで問題ありません。ユーザーが何らかのタグを入力する場合は、画像を表示する以外の操作ができないことを確認する必要があります。