从外部网站渲染图像时如何防止 XSS 攻击

Question

我公司将允许客户将建议发布到我们的网站上。 此功能与 Facebook 分享链接非常相​​似。 我们的客户将输入一个 URL，我们将抓取网站、检索图像、描述并将描述和图像 URL 保存在我们的数据库中，以供其他客户稍后查看。

我们没有资源来保存/操作外部图像，除非现在绝对有必要，否则我们希望保存图像 URL 并在加载时渲染它。

该功能已经实现，但我有一些顾虑，希望获得一些专家的帮助，以确保我可以防止任何问题的发生。

场景1 客户 A 从网站发布了 5 条建议，其中包含大的高质量图像。我可以在第一次渲染并从网站检索这些图像时防止网站性能受到影响吗？您是否知道只要保留对原始网站的引用，保存本地副本是否违法？我也反对热链接，但不确定在硬盘驱动器中保留副本是否是个好主意。 我注意到 Facebook 不会保存它们，它们总是渲染图像，我确信它们是这样做的，因为这是正确的方法。

b) 客户 B 滥用此功能，并且他实际上尝试进行 XSS 攻击，我如何利用 Anti-XSS 4.0 来确保客户不会尝试 xss 攻击，对输出进行编码就足够了？是否还有其他我不知道的安全风险？

感谢您的帮助！

Answer 1

谷歌图像和类似网站似乎可以在本地存储图像。向每个网站请求许可是不切实际的。

为了防止 XSS 攻击，请确保客户为您提供 URL 而不是一些 JavaScript。您可以在此处查看一些 XSS 图像攻击示例：http://ha.ckers.org/xss.html