设置图像的 src 属性时是否需要注意，其中 src 路径由用户指定？

Question

我正在创建一个页面，其中用户将指定图像的 url。该 url 将存储在数据库中，然后将其检索回来以显示图像。到目前为止，如果用户不想恶作剧，那就太好了。

但现在通过 http://ha.ckers.org/xss.html ，用户可以还指定一个实际上是脚本的 url。

<IMG SRC=javascript:alert('XSS')> 

我在一个页面中尝试过这个，但这没有造成任何损害。 [没有显示警报] 所以重点是，我真的需要关心用户指定的内容吗？如果是，那么我需要考虑哪些案例/场景，以及如何做到这一点？

Answer 1

只要您从不受信任的来源获得任何东西，您就需要处理好它。在这种情况下，用户可以编写一些有害代码来破坏您的 html。

<img alt='' src='' />alert('xss');<!--'-->

此外，当用户输入在不同的地方使用时，应该以不同的方式处理。例如Url编码、Html编码、Javascript编码。

总之，不要相信用户输入！

Answer 2

在存储到数据库之前，请确保它是：

1. 有效的 URL（每种服务器端语言都有自己的方法）
2. 有效的图像（在服务器端使用某种 XMLHTTP/WebRequest 并解析内容）

如果您有 ASP.NET 步骤 #2 成为使用 WebResponse 流创建新位图并查看它是否成功以及位图是否有效很简单。

Answer 3

他还可以提供像 myevilscript.php 这样的值，他可以在其中执行一些 php 操作。所以事实上你真的不应该这样做:)