Php 通过<;加载可执行代码;img>;或<;a>;标签?
我正在开发一个应用程序,它允许人们在以HTML形式发送之前,根据输入URL输入Php 通过<;加载可执行代码;img>;或<;a>;标签?,php,javascript,security,xss,image,Php,Javascript,Security,Xss,Image,我正在开发一个应用程序,它允许人们在以HTML形式发送之前,根据输入URL输入函数中包含的任意URL。我也在检查URL文本是否以http://或https://开头,但我不知道这是否在安全方面起到了作用 我还应该做些什么来确保最终用户的安全?您想了解和 编辑: 正如所指出的,您几乎可以复制和粘贴中的任何示例,并寻求相应的最佳方法来防止它们。您应该随时清理,img标记容易受到攻击。请查看。此外,在较新的浏览器中,可以将整个图像插入URL。也许可以通过那里注入一些东西,但是这需要一个巨大的浏览器端安
函数中包含的任意URL。我也在检查URL文本是否以http://
或https://
开头,但我不知道这是否在安全方面起到了作用
我还应该做些什么来确保最终用户的安全?您想了解和
编辑:
正如所指出的,您几乎可以复制和粘贴中的任何示例,并寻求相应的最佳方法来防止它们。您应该随时清理,img标记容易受到攻击。请查看。此外,在较新的浏览器中,可以将整个图像插入URL。也许可以通过那里注入一些东西,但是这需要一个巨大的浏览器端安全漏洞,我不知道如何清理类似的东西
也许您只是想限制对某些域的访问,或者检查映像是否实际存在?这可能已经帮了大忙了。:
可以构造一个也是有效javascript文件的图像,并让浏览器执行它。看
SVG图像(mime类型图像/SVG+xml)可以包含javascript。请参见除了到目前为止的好答案之外,xss备忘单并没有真正考虑诸如onmouseover onhover等事件属性。这些都是为了在发生事情时允许某人运行一些javascript而设计的 谢谢,我正在使用CodeIgniter框架,它有一个xss_clean()函数。在通过xss_clean()传递示例之后,我在该站点上尝试了大约一半的示例,它用字符串“[removed]”替换了所有易受攻击的文本。。。。哎呀,这更像是我所担心的。谢谢
<img src="http://example.org/accounts/123/delete" />