search

blocklet / media-kit

Simple image upload and sharing blocklet
Other
4 stars 0 forks source link

chore: enhanced security against xss attacks #327

Closed FireTable closed 6 days ago

FireTable commented 1 week ago

关联 Issue

主要改动

  1. 升级依赖
  2. 增加防盗链和 referer 判断,防止被人滥用
  3. 支持 Pref 设置防盗链功能,默认关闭符合之前是用场景
  4. 增加关键接口的 checkReferer,提高作案成本(临时用 .well_known 接口)
  5. 给 Uploader 上传文字,加入下划线,用于新主题色的区分
  6. 调整 PDF 预览方式,识别到 PDF 那么触发下载,绕过 xss 攻击
  7. 前端清洗 svg file,增加文件内容读取条件,尝试清洗 svg 标签

界面截图

// 回归 + 新功能测试 + pdf 测试 + 防盗链测试

https://github.com/user-attachments/assets/e3981952-beaa-46db-9bc7-7d3ada8ba60c

// 下划线 QQ_1732626503705

测试计划

检查清单

wangshijun commented 6 days ago
  • 增加防盗链和 referer 判断,防止被人滥用
  1. 有登录用户访问的时候可以放行?
  2. 有 imageFilter 的时候是不是就 break 了?
FireTable commented 6 days ago

有登录用户访问的时候可以放行?

这个可以加上,应该能省一些查询 referer 的性能

有 imageFilter 的时候是不是就 break 了?

测试发现会有缓存干扰,新的图片是 Oops,我会加上在切换 prefs switch 的时候,用 sdk clear cache 但是好像也不太行,我得研究下

QQ_1732669266333