Пользователь недавно сообщил мне, что может использовать тег BBCode [img ], который был доступен им на форумах.
[img = http: //url.to.external.file.ext] [img]
Конечно, оно будет отображаться как неработающее изображение, однако браузер получит файл оттуда . Я сам протестировал его, и, конечно же, он был законным.
Я не уверен, как предотвратить этот тип XSS-инъекции, кроме загрузки изображения и проверки его подлинности через PHP. Этим легко можно злоупотребить с безумно огромным файлом.
Есть ли другие решения для этого?