gpt4 book ai didi

php - 使用PHP防止图片内XSS攻击

转载 作者:塔克拉玛干 更新时间:2023-11-03 05:39:19 25 4
gpt4 key购买 nike

看完http://dsecrg.com/files/pub/pdf/XSS_in_images_evasion_bypass_(eng).pdf ,很明显,允许用户上传图片会使您面临 XSS 攻击。

我找不到任何关于如何筛选上传的图像以防止 XSS 攻击的 PHP 示例。

我为 CodeIgniter 找到了一个,我正在使用它。该函数是xss_clean($file, IS_IMAGE),但是它的文档只有一句话,所以我不知道它是如何工作的,他们论坛上的评论说它的使用率高得不合理的误报,所以它不能用于生产。

您有什么建议来防止上传图片中的 XSS 攻击?

最佳答案

只要您保持扩展正确(并且您的用户努力更新他们的浏览器)图像注入(inject)应该是不可能的。

例如,如果有人上传 alert('xss');作为图像,你有 <img src='that-image.png'> ,它将作为 png 发出并且 JavaScript 不会执行(至少回到 IE7)。重要的是适本地重命名图像。

如果你有 php > 5.3 和 finfo PECL 扩展名,您可以使用它来获取文件的 mime 类型,并有一个您将允许的类型的白名单(我想是 png、jpg、gif)。如果您使用的是 Linux 机器,file也可以帮助您。

关于php - 使用PHP防止图片内XSS攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11906372/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com