如何阻止来自图像或 <img> 标签的攻击

Question

假设我有一个名为 www.example.com/index.php 的域。 有些人通过使用数百万个图像标签来攻击我的网站， 喜欢

<img src='www.example.com/index.php' >

<img src='www.example.com/index.php' >

<img src='www.example.com/index.php' >
 so on
</body>
</html>

此活动向我发送了过多的垃圾邮件流量，我的服务器正在停机。 我无法停止/过滤这些请求，请告诉我这是什么类型的攻击以及如何防止它？

我已尝试停止在 ACCEPT 请求标头中包含 image/png、image/jpg 的请求。它适用于最新版本的浏览器。但较低版本的 IE 不正确支持 ACCEPT 参数，它总是在 ACCEPT 请求标头中发送 /。

Answer 1

是的，Srihari，
您可以使用跨源策略做一些事情。 根据我的猜测，您不需要允许其他域访问您的内容，而只是想与他们共享您的链接。

试试这样的：

if(requested_domain != "yourdomain") {
     block();    
}

因为，内容加载是 csrf 攻击，这是阻止它的最佳方法。

如果您想通过iframe#notImgSrc 提供对其他域的访问以加载您的内容，您可以执行以下操作：

if(requested_domain != "yourdomain") {
     if(requested_media != iframe){
          block();    
     }
}

Answer 2

如果只有少量的源页面包含这种攻击，你可以通过referer来阻止它们。