我公司将允许客户在我们的网站上发布建议。 此功能与facebook共享链接非常相似。 我们的客户将键入URL,我们将抓取网站,检索图像,描述并将描述和图像URL保存在我们的数据库中,供其他客户稍后查看。
我们没有资源来保存/操作外部图像,除非现在绝对需要保存图像网址并将其渲染为onload。
该功能已经实施,但我有一些顾虑,希望得到一些专家帮助,以确保我可以防止任何问题发生。
情景1 客户A,发布来自网站的5条建议,其中包含大量高质量图像。我是否可以在第一次从网站上渲染和检索图像时阻止网站获得性能影响?,只要我保留对原始网站的引用,您是否知道保存本地副本是否合法?我也反对hotlinking但不确定是否在我的硬盘中保留副本是个好主意。 我注意到facebook没有保存它们,它们总是渲染图像,我相信它们是这样做的,因为这是正确的方法。
b)客户B滥用此功能,他实际上尝试进行XSS攻击,如何利用Anti-XSS 4.0确保客户不尝试xss攻击,编码输出就足够了?还有其他我不知道的安全风险吗?感谢您的帮助!
答案 0 :(得分:0)
谷歌图片和类似网站似乎在本地存储图像。要求每个网站的许可都不切实际。
要防止XSS攻击,请确保客户为您提供的是URL,而不是某些JavaScript。您可以在此处查看一些示例XSS图像攻击:http://ha.ckers.org/xss.html