Моя компания позволит клиентам размещать предложения на нашем сайте.
Эта функция очень похожа на ссылку на Facebook.
Наши клиенты будут вводить URL, мы будем очищать сайт, извлекать изображения, описание и сохранять описание и URL изображения в нашей базе данных, чтобы другие клиенты могли просмотреть их позже.
У нас нет ресурсов для сохранения / манипулирования внешним изображением, кроме случаев, когда это абсолютно необходимо, но сейчас мы хотим сохранить URL-адрес изображения и отобразить его в режиме загрузки.
Функция была реализована, но у меня есть некоторые опасения, и я хотел бы получить помощь специалиста, чтобы убедиться, что я могу предотвратить возникновение любой проблемы.
Сценарий 1
Клиент А, публикует 5 предложений с веб-сайтов, которые содержат большие изображения высокого качества. Могу ли я помешать сайту получить прирост производительности при первом отображении и получении этих изображений с сайтов? Знаете ли вы, будет ли незаконным сохранять локальную копию, пока я сохраняю ссылку на исходный сайт? Я также против хотлинкинга, но не уверен, что хранить копию на жестком диске - хорошая идея.
Я заметил, что Facebook не сохраняет их, они всегда отображают изображение, я уверен, что они делают это так, потому что это правильный способ сделать это.
б) Клиент B использует эту функцию не по назначению, и он на самом деле пытается провести XSS-атаку. Как я могу воспользоваться Anti-XSS 4.0, чтобы убедиться, что клиент не пытается xss-атаки, будет достаточно кодирования вывода? Есть ли какой-либо другой риск безопасности, о котором я не знаю?
Спасибо за вашу помощь!