我正在构建一个应用程序,允许用户POST
HTML5 画布数据随后以 Base64 进行编码并显示给所有用户。我正在考虑将数据解析为实际的 .png 文件并存储在服务器上,但 base64 路由允许我将图像存储在数据库中并最大限度地减少请求。图片独特、数量少,并且页面不会经常刷新。
一些 jQuery 将获取画布数据,data:image/png;base64,iVBORw...
并将其传递给 PHP 脚本,该脚本将其包装如下:<img src="$data"></img>
然而,安全性是基石,需要验证base64画布数据,以防止在画布中传递恶意数据。POST
要求。我主要关心的是防止外部 URL 被注入到<img>
标签并在页面加载时被请求。
我目前有这样的设置:
$data = (isset($_POST['canvas']) && is_string($_POST['canvas'])) ? $_POST['canvas'] : null;
$base = str_replace('data:image/png;base64,', '', $data);
$regx = '~^([A-Za-z0-9+/]{4})*([A-Za-z0-9+/]{4}|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{2}==)$~'
if ((substr($data, 0, 22)) !== 'data:image/png;base64,')
{
// Obviously fake, doesn't contain the expected first 22 characters.
return false;
}
if ((base64_encode(base64_decode($base64, true))) !== $base64)
{
// Decoding and re-encoding the data fails, something is wrong
return false;
}
if ((preg_match($regx, $base64)) !== 1)
{
// The data doesn't match the regular expression, discard
return false;
}
return true;
我想确保我当前的设置足够安全,可以防止外部 URL 被插入到<img>
标签,如果没有,如何进一步验证图像数据?