画像XSSの対策として、マジックバイトチェックがよく挙げられるのですが、
マジックバイトチェックは最初の数Byteのチェックしか行わないため、
それ以降の画像内コードにhtmlタグが紛れ込んでいたとしても、チェックに引っかかりません。
この場合のphpでの対策として、有効な方法をご教授いただけないでしょうか。
ちなみに、拡張子、Content-type、mimeタイプのチェックは既にしております。
自分では画像内コードを文字列検索する下記のような方法しか思いつけませんでした。
$nakami = file_get_contents($file_real); if (strpos($nakami, 'html') !== false) { echo 'htmlタグが入っている不正な画像です'; }else { echo '正しい画像です'; }
回答3件
あなたの回答
tips
プレビュー