0

我公司将允许客户在我们的网站上发表建议。此功能与 facebook 分享链接非常相​​似。我们的客户将输入一个 URL,我们将抓取网站、检索图像、描述并将描述和图像 url 保存在我们的数据库中,以供其他客户稍后查看。

我们没有资源来保存/操作外部图像,除非现在绝对有必要,我们希望保存图像 url 并在加载时渲染它。

该功能已经实现,但我有一些顾虑,希望得到一些专家的帮助,以确保我可以防止任何问题的发生。

场景 1 客户 A,从包含大型高质量图像的网站发布 5 条建议。我可以防止网站在我第一次从网站渲染和检索这些图像时受到性能影响吗?只要我保留对原始网站的引用,你知道保存本地副本是否违法吗?我也反对盗链,但不确定在我的硬盘中保留一份副本是否是个好主意。我注意到 facebook 不会保存它们,它们总是渲染图像,我相信他们会这样做,因为这是正确的做法。

b) 客户 B 滥用此功能,他实际上尝试进行 XSS 攻击我如何利用 Anti-XSS 4.0 来确保客户不会尝试 xss 攻击,对输出进行编码就足够了?还有其他我不知道的安全风险吗?

谢谢你的帮助!

4

1 回答 1

0

谷歌图像和类似网站似乎可以在本地存储图像。向每个网站请求许可是不切实际的。

为了防止 XSS 攻击,请确保客户给您一个 URL 而不是一些 JavaScript。你可以在这里看到一些示例 XSS 图像攻击:http: //ha.ckers.org/xss.html

于 2011-05-05T01:24:37.943 回答