XSS 공격으로부터 보호하기 위해 만든 리치 텍스트 편집기가 있습니다. 나는 거의 모든 것을 다 처리했다고 생각하지만, 나는 이미지로 무엇을해야하는지 아직도 확신 할 수 없다. 지금은 내가 인라인을 차단합니다 있으리라 믿고있어 이미지 URL을 검증하기 위해 다음과 같은 정규식을 사용하고 자바 스크립트 XSS 공격 :이에서 XSS 공격에 나 잎 얼마나 개방의 확실하지 않다 무엇이미지의 교차 사이트 스크립팅
"https?://[-A-Za-z0-9+&@#/%?=~_|!:,.;]+"
원격 이미지. 외부 이미지를 심각한 보안 위협으로 연결하고 있습니까?
제가 생각할 수있는 유일한 점은 입력 한 URL이 이미지의 일종이 아닌 MIME 유형으로 "text/javascript
"을 반환하는 리소스를 참조하고 자바 스크립트가 실행된다는 것입니다.
그럴 수 있습니까? 고려해야 할 다른 보안 위협이 있습니까?
나는 또한 ha.ckers.org 컨닝 페이퍼 추천 : ha.ckers.org/xss.html –