私の会社は、顧客が当社のウェブサイトに提案を投稿することを許可します。この機能は、Facebook の共有リンクに非常に似ています。お客様が URL を入力すると、サイトがスクレイピングされ、画像と説明が取得され、他のお客様が後で確認できるように、説明と画像の URL がデータベースに保存されます。
外部画像を保存/操作するためのリソースはありません。今のところ絶対に必要でない限り、画像の URL を保存してオンロードでレンダリングしたいと考えています。
この機能は実装されましたが、懸念事項がいくつかあります。問題が発生しないように、専門家の助けを借りたいと考えています。
シナリオ 1 顧客 A は、大きな高品質の画像を含む Web サイトから 5 つの提案を投稿します。サイトからそれらの画像を初めてレンダリングして取得するときに、サイトのパフォーマンスが低下するのを防ぐことはできますか?元のサイトへの参照を保持している限り、ローカル コピーを保存することは違法かどうか知っていますか? また、私はホットリンクに反対していますが、ハード ドライブにコピーを保存するのが良い考えかどうかはわかりません。Facebookはそれらを保存しないことに気づきました。常に画像をレンダリングします。それが正しい方法であるため、そのようにしていると確信しています。
b) 顧客 B はこの機能を悪用し、実際に XSS 攻撃を試みています。Anti-XSS 4.0 を利用して、顧客が xss 攻撃を試みないようにするには、出力をエンコードするだけで十分ですか? 私が認識していない他のセキュリティリスクはありますか?
ご協力いただきありがとうございます!