博客中的预览按钮有没有危险?


6

在我的Wordpress博客中(尽管其他博客也可能如此),还有一个预览网页功能。

因此,当我通过链接收到评论时,我可以将鼠标悬停在链接上,并向我显示该页面的预览。我有时使用它来检查可能的垃圾邮件。

但是有没有这方面的风险?例如,如果网页具有基于脚本或基于XSS的攻击,我的博客是否会受到攻击?

要说清楚,我不是在谈论任何插件。在WordPress的评论部分,人们可以选择发布链接到他们的网站。如果将鼠标悬停在链接上,它会生成网站预览。这就是我正在谈论的。这似乎是Wordpress的一个内置功能。

3

在下面,我想你是在谈论Wordpress的ShrinkTheWeb插件。该插件与ShrinkTheWeb人员维护的服务器一起工作:当通过链接进行“悬停”时,会向您的服务器发送请求,然后服务器将请求转发给ShrinkTheWeb服务器;后者实际上会尝试访问目标网站,计算缩略图并将其作为图片发送回您的服务器。对于你的服务器,只有一张图片,这就是发回给用户浏览器的内容。

任何插件都可以有自己的安全问题,但我要说的是,在这种情况下,风险正在ShrinkTheWeb服务器端,因为它是服务器谁做的可能是讨厌的网站的实际访问在用户提供的链接的末尾。 风险大致如下更多:

  • 如果ShrinkTheWeb服务器被劫持,有可能它开始返回恶意数据,而不是网站为无害的图片的缩略图;取决于WordPress插件编写得有多糟糕(我没有检查过),这对您的服务器甚至用户的浏览器可能会也可能不会危险。但是,只要ShrinkTheWeb服务器占据线路,它将只返回格式良好的图片,这对您的服务器和用户的浏览器无害。

  • 屏幕截图将以某种方式显示为“在您的博客网站”,因此如果“不需要”的图片以这种方式出现,您可能会遇到公共关系问题。但这是一个跟踪和删除垃圾邮件和巨魔的问题;这里没有什么新东西。

  0

不,我不是在说插件。我会更新我的问题以使其更清楚。 09 8月. 132013-08-09 14:44:34