.gif)
Если я все правильно понял, то вся опасность заключается в том, что вы даете ссылку на картинку с другого ресурса. Именно из-за этого возникает XSS-уязвимость?
Тег [img] и другие способы вставки картинок в статьи
293
Specnaz12
3 ноя 2009 г., 11:26
Dаrk Shаdоw
Вот мне надо иметь возможность вставлять картинки в текст статей в библиотеке. Но сегодня как поначитался про опасность тега [img], что такое желание почти отпало) Но так как такая возможность мне все-таки нужна, то придется искать альтернативу
Если я все правильно понял, то вся опасность заключается в том, что вы даете ссылку на картинку с другого ресурса. Именно из-за этого возникает XSS-уязвимость?
Если я все правильно понял, то вся опасность заключается в том, что вы даете ссылку на картинку с другого ресурса. Именно из-за этого возникает XSS-уязвимость?
AlkatraZ
3 ноя 2009 г., 11:28
╭∩╮ (`-`) ╭∩╮
В принципе, если правльно подойти к этому вопросу, и хорошо фильтровать, можно грузить и с других ресурсов.
Просто я еще глубоко не копал это направление, а простое, непроверенное решение по старинке чревато XSS уязвимостями.
Просто я еще глубоко не копал это направление, а простое, непроверенное решение по старинке чревато XSS уязвимостями.
Specnaz12
3 ноя 2009 г., 11:29
Dаrk Shаdоw
Таким образом у меня возникло 2 альтернативных идеи)
Правда сам я их вряд ли смогу воплотить, да и не уверен, что они абсолютно правильные. Но надеюсь, что меня если что исправят
Правда сам я их вряд ли смогу воплотить, да и не уверен, что они абсолютно правильные. Но надеюсь, что меня если что исправят
Specnaz12
3 ноя 2009 г., 11:33
Dаrk Shаdоw
Идея 1
Брать за основу выгрузку скриншота в загрузках + ограничения по размеру и расширению (чтобы это были только картинки)
То есть берем пишем статью и там дополнительно появляется поле "Загрузить лого". После выгрузки лого появится в определенном месте статьи, ориентировочно после заголовка и перед самим текстом.
Такой вид вполне подойдет для статей об известных людях (портрет и данные) или просто как лого чего-то, напрмер обложка книжки.
Минусы:
- картинка будет выводиться только одна и только в определенном месте
Брать за основу выгрузку скриншота в загрузках + ограничения по размеру и расширению (чтобы это были только картинки)
То есть берем пишем статью и там дополнительно появляется поле "Загрузить лого". После выгрузки лого появится в определенном месте статьи, ориентировочно после заголовка и перед самим текстом.
Такой вид вполне подойдет для статей об известных людях (портрет и данные) или просто как лого чего-то, напрмер обложка книжки.
Минусы:
- картинка будет выводиться только одна и только в определенном месте
Venser
3 ноя 2009 г., 11:35
Юзер кидала, не рекомендуется иметь с ним дело
Specnaz12, в принципе не плохо, но действительно огорчает то, что картинка одна.
Максим
3 ноя 2009 г., 11:37
В стельку трезвый
Ну одна картинка это фигня. Можно притулить и больше. Ну вот место картинки в принципе можно реализовать, но более сложно и надо обдумывать все.
Specnaz12
3 ноя 2009 г., 11:38
Dаrk Shаdоw
Идея 2
Создать отдельный как бы обменник в библиотеке, куда можно будет выгружать только картинки (jpg, gif, png) с ограниченным весом и разрешением.
Потом в тексте статьи использовать тег [img], но на особых условиях: вы указываете только номер картинки и расширение (1.jpg, 14.gif), остальной адрес прописывается автоматически, типа ' . $home . '/library/images/
Плюсы: что картинок можно вставлять несколько и в удобном месте, картинки хранятся на вашем же сайте, из-за чего и минус - под картинки также нужно выделять место на хосте
Создать отдельный как бы обменник в библиотеке, куда можно будет выгружать только картинки (jpg, gif, png) с ограниченным весом и разрешением.
Потом в тексте статьи использовать тег [img], но на особых условиях: вы указываете только номер картинки и расширение (1.jpg, 14.gif), остальной адрес прописывается автоматически, типа ' . $home . '/library/images/
Плюсы: что картинок можно вставлять несколько и в удобном месте, картинки хранятся на вашем же сайте, из-за чего и минус - под картинки также нужно выделять место на хосте
Specnaz12
3 ноя 2009 г., 11:40
Dаrk Shаdоw
Мне больше нравится вторая идея конечно)
Но сам я ее не сделаю
В конце концов картинки занимают не так ж и много места, посему 10 метров на хосте хватит на добрую сотню статей)
Ну а то, что картинки лежат у вас самих на сайте - дополнительный гарант безопасности
Правда, для пользователей Оперы Мини выгрузка не подойдет, или надо что-то менять...
Но сам я ее не сделаю
В конце концов картинки занимают не так ж и много места, посему 10 метров на хосте хватит на добрую сотню статей)
Ну а то, что картинки лежат у вас самих на сайте - дополнительный гарант безопасности
Правда, для пользователей Оперы Мини выгрузка не подойдет, или надо что-то менять...
Specnaz12
3 ноя 2009 г., 11:44
Dаrk Shаdоw
Вобщем идеи я предложил)
Сам тоже помучаю библу, может что и выйдет) Если кто все-таки возьмется за это дело, думаю не лишним будет включить сию доработку и в паблик 3.0
Сам тоже помучаю библу, может что и выйдет) Если кто все-таки возьмется за это дело, думаю не лишним будет включить сию доработку и в паблик 3.0
WingeD
3 ноя 2009 г., 15:27
(¯`*•. Сторож Ночи .•*´¯)
а идею такая:
просто когда пишишь этот тег,то он не показывал картинку из адреса,а сначало загрузил её и показывал бы из самого сайта а не из адреса....ну и ссыль обрезаеться...точнее вообще недолжно быть..и картинка как смаил показываеться ::и выводиться из самого вашего сайта
просто когда пишишь этот тег,то он не показывал картинку из адреса,а сначало загрузил её и показывал бы из самого сайта а не из адреса....ну и ссыль обрезаеться...точнее вообще недолжно быть..и картинка как смаил показываеться ::и выводиться из самого вашего сайта
Всего: 12
© 2024, JohnCMS