我的网站上有一个富文本编辑器,我正在尝试防范XSS攻击.我想我已经完成了所有处理,但我仍然不确定如何处理图像.现在我正在使用以下正则表达式验证图像URL,我假设它将阻止内联javascript XSS攻击:
"https?://[-A-Za-z0-9+&@#/%?=~_|!:,.;]+"
我不确定的是,这让我对远程图像的XSS攻击有多开放.连接外部图像是否存在严重的安全威胁?
我唯一能想到的是输入的URL引用了一个资源,该资源返回" text/javascript"作为其MIME类型而不是某种图像,然后执行javascript.
那可能吗?我应该考虑其他安全威胁吗?
京公网安备 11010802040832号 | 京ICP备19059560号-6 