让我们考虑一下我有一个名为 www.example.com/index.php 的域。有些人通过使用数百万个图像标签来攻击我的网站,例如
<img src='www.example.com/index.php' >
<img src='www.example.com/index.php' >
<img src='www.example.com/index.php' >
so on
</body>
</html>
此活动向我发送了过多的垃圾邮件流量,并且我的服务器正在关闭。我无法停止/过滤这些请求,请告诉我这是什么类型的攻击以及如何防止它?
我试图停止在 ACCEPT 请求标头中包含 image/png、image/jpg 的请求。它适用于最新版本的浏览器。但是较低版本的 IE 不正确支持 ACCEPT 参数,它总是在 ACCEPT 请求标头中发送/ 。
是的,Srihari,
您可以使用跨源策略做一些事情。根据我的猜测,您不需要允许其他域访问您的内容,而只想与他们共享您的链接。
尝试这样的事情:
if(requested_domain != "yourdomain") {
block();
}
因为,内容加载是 csrf 攻击,这是阻止它的最佳方法。
如果您想提供对 other_domains 的访问权限以通过iframe#notImgSrc 加载您的内容,您可以执行以下操作:
if(requested_domain != "yourdomain") {
if(requested_media != iframe){
block();
}
}
If there are just small amount of source pages containing this kind of attack, you can block them by referer.