阅读http://dsecrg.com/files/pub/pdf/XSS_in_images_evasion_bypass_(eng).pdf之后,很明显,允许来自用户的图像上传会将您打开到XSS攻击。使用PHP来防止图像内的XSS攻击
我无法找到任何有关如何为XSS攻击屏幕上传图片的PHP示例。
我找到了一个用于CodeIgniter,我正在使用。功能是xss_clean($file, IS_IMAGE)
,但它只有一个文档的句子,所以我不知道它是如何工作的,并在他们的论坛上发表评论说它有不合理的高误报率,所以它不适用于生产。
您建议如何防止上载图片中的XSS攻击?
我个人只是放出所有的应用程序/ octet-stream – 2012-08-10 17:28:50
感谢爆炸,这是我将如何处理它。 正如我在上面链接的文章中所述: “当然,我们可以忽略这个问题,指出它来自应用程序缺陷。但是,网络骗子可以通过图片安装和使用PHP shell本地PHP的存在包括漏洞,在这种情况下,浏览器的功能将不再相关,这一事实证实,如果我们处理用户数据,无论如何都需要过滤。 这令我害怕,但我的服务器已更新,并考虑到它后...我真的不在乎IE 7用户是否被黑客所有。 – Justin 2012-08-11 19:11:47