Saint, пока что я решил- пусть грузят откуда угодно, а не засоряют сайт. Сделаю проверку регуляркой, а когда ресурсов перестанет хватать- буду докупать место, и тогда уже сделаю. А сейчас размышляю над выражением, которое будет фильтровать примерно
([a-z0-9_.:\/])\.(jpg|png|gif|еще чет)
Только например от сниффера не спасет это.
Сбор ип/юзерагенти т.д не так страшно, но все же.
bibilink, так эту информацию я и так буду показывать, лишь бы куки не трогали.
SV, при большом желание xss можно провести и через картинку , а вообще можешь заюзать готовое решение с кэшэм . выдерни из релиза фиеры обработку тега img
Saint, так а как загонишь xss в регулярку, где разрешены лишь : . - / ?
SV, Можно же заголовки подменить . что кстати в том же dcms прокатывает (как пример) .подробности с dcms'ом не вспомню ,но пару лет назад на форуме описывали мои пользователи .как провести и устранить . ну от подобного можно избавится банально проверив содержимое картинки . думаю проще поискать готовые решения . у меня к примеру для этого простенький класс ,если даже картинка содержала бы что-то ,оно стало бы безобидное после загрузки .
Saint, я той проверкой вешал эти ваши dcms через гостевую. Вверху всех страниц эфир, пишешь сообщение с тегом, невидимое и безобидное везде, потом ставишь sleep(3600); и уходишь
