带有 BBcode (php, preg_replace) 的图像。安全问题

Question

Bbcode 问题。这个：

$text = preg_replace("@\[img\](.*)\[\/img\]@si",
"<img src=\"$1\" border=\"0\" />", $text);

工作正常，但同时也是一个很大的安全问题，例如：

[img]http://www.domain.com/delete-account/[/img]

或

[img]http://www.domain.com/logout/[/img]

任何想法如何控制它，以便只有以 .jpg 结尾的图像链接被转换为 html？

[img]http://www.domain.com/image.jpg[/img]

谢谢。

Answer 1

根据the HTTP1.1 standard，请求带有GET（用于获取图像的方法）的URL不应导致任何操作，例如注销。因此，您不需要限制以 .jpg 结尾的 URL，而且通常这是一个坏主意，因为还有其他图像格式，并且 URL 通常与其内容类型无关。

更重要的是，如果请求一个 URL确实 改变了服务器 vulnerable.net 的状态，那么这个 Cross Site Request Forgery Vulnerability 无论如何都可以通过设置一个 302 重定向的自定义服务器来利用 @987654328 @到http://vulnerable.net/logout。

仅供参考，如果您真的只想替换以 .jpg 结尾的 URL，您可以将其插入组中：

$text = preg_replace("@\[img\](.*\.jpg)\[\/img\]@si",
                     "<img src=\"$1\" border=\"0\" />", $text);

但这不是一种安全机制，如果浏览器（或积极缓存的代理，或病毒扫描程序，或...）预取 URL，则会失败。 GET 请求不应导致任何操作。

Answer 2

考虑这个问题的一种方法是在服务器端检查 GET 和 POST 请求是否不等价。

POST 请求可以改变服务器端的数据，GET 请求不能改变任何东西。那就是HTTP协议。 IMG 标记始终是 GET 请求。并且浏览器可以毫无风险地执行这个 GET 请求，所以问题出在 服务器端，每一个可以更改数据（数据库、会话等）的操作都必须检查请求是 POST 请求。例如，您的 /post 或 /delete-account 网址应返回 403 或 200 代码，但带有 表单页面，要求 POST 确认。如果这在您的应用程序中是错误的，那么您不仅会遇到更改 IMG 标记的问题，而且可能还会遇到预加载 GET 引用甚至机器人的“html 页面加速器”。

如果您能找到this excellent book 的副本，您可能会发现一些高级图片链接问题和过滤技巧。例如，外国网站上的链接有时可能会成为问题。但这是一个比以一种方便的方式处理 GET 和 POST 请求开始复杂得多的问题。