如何在允许用户发布外部图片的同时防止XSS注入

Question

一位用户最近向我报告，他们可以利用通过论坛提供的 BBCode 标签 [img]。

[img=http://url.to.external.file.ext][img]

当然，它会显示为损坏的图像，但是浏览器会在那里检索文件。我自己测试了一下，果然是合法的。

除了下载图像并通过 PHP 检查它是否是合法图像之外，我不知道如何防止这种类型的 XSS 注入。这很容易被一个极其巨大的文件滥用。

对此还有其他解决方案吗？

Answer 1

您可以请求标头并检查文件是否实际上是图像。

编辑：

抱歉，我无法更深入地回答；我正在享受晚餐。

我有两种查看方式：

1. 您在提交或查看帖子时检查提供的地址是否实际上是图像，您可以通过检查标题（确保它实际上是图像）或使用文件扩展名来完成此操作。这并不是万无一失的，并且存在一些明显的问题（动态更改图像等）。
2. 确保您的网站安全，即使 [img] 标签遭到破坏，也不会出现真正的问题，例如：恶意代码无法使用窃取的 cookie。
3. 使用请求外部图像并修改标头的脚本。

检查远程文件内容类型的基本方法：

$Headers = get_headers('http://url.to.external.file.ext');
if($Headers[8] == 'text/html') {
    echo 'Wrong content type.';
    exit;
}

Answer 2

这个问题只有两个解决方案。下载图像并从您的网络服务器提供服务，或者仅允许图像的 url 模式白名单。

如果您决定下载图像，可能会遇到一些问题 -

1. 确保您已验证最大文件大小。如果文件超过一定大小，有多种方法可以停止下载，但这些方法特定于语言。
2. 检查该文件是否确实是图像。
3. 如果将其存储在硬盘上，请务必重命名。您不应允许用户控制系统上的文件名。
4. 当您提供图像时，请使用一次性域名，或使用裸 IP 地址来提供图像。如果浏览器被欺骗，认为图像是可执行代码，同源策略将防止进一步的损害。