У меня есть веб-сайт для членов, где мы используем очень закрытую версию замечательного fckeditor для публикации содержимого участников. Недавно мы начали разрешать смайлики, что радует участников, но представляет потенциальную уязвимость в том, что теперь можно вставлять изображения из других доменов, а также смайлики, которые обслуживаются у нас.
Все опубликованное проходит этап предварительного просмотра, во время которого отправляемый контент очищается, поэтому я думаю, что мне нужен какой-то дополнительный php, который удаляет любой тег img, src которого указывает, что он не пришел из нашего домена (скажем, так и есть) xyz.com "). Как указано в первом комментарии drf, это не так просто, как может показаться на первый взгляд.
Я уверен, что это будет относиться и к другим, но мне не повезло найти решение, и регулярное выражение не является моей сильной стороной. Как всегда, любая помощь и предложения будут оценены.