Sur mon site, je souhaite autoriser les utilisateurs à ajouter des références aux images hébergées sur Internet. Ces images peuvent ensuite être vues par tous les utilisateurs de mon site. Autant que je comprenne, ceci pourrait ouvrir le risque de script inter-site, comme dans le scénario suivant: L'utilisateur A ajoute un lien à un gif qu'il héberge sur son propre serveur web. Ce serveur web est configuré de telle sorte qu'il renvoie javascript au lieu de l'image. L'utilisateur B ouvre la page contenant l'image. Au lieu de voir l'image, javascript est exécuté.Images liées en externe - Comment éviter les scripts intersites
Mes tâches de sécurité actuelles sont actuellement telles que, à la fois sur enregistrer et ouvrir, tout le contenu est codé. J'utilise asp.net (C#) sur le serveur et beaucoup de jquery sur le client pour construire des éléments d'interface utilisateur, y compris la génération de balises d'image.
Est-ce que cette peur de la mienne est correcte? Ai-je manqué d'autres failles de sécurité importantes ici? Et le plus important de tous, comment puis-je empêcher cette attaque? La seule manière sûre que je peux penser en ce moment, est webrequest l'URL d'image sur le serveur et vérifie s'il contient n'importe quoi d'autre que des données binaires ...
Quelqu'un pourrait simplement utiliser javascript: alert ('XSS'); à l'intérieur de l'image tag src si. (C'est si vous ne vérifiez pas c'est en fait une url) – domenukk