Подумал я как решить проблему не отключая внешние элементы, на ум приходит только проксирование, т.е. загрузка и проверка внешних эллементов на уровне прокси-сервера, например nginx, если картинка сервер даёт добро, иначе ошибка 403, доступ запрещен...
Кстати почему-то на эксплоит-ин не торопятся исправлять данную уязвимость, видимо не считают это уязвимостью, а зря, очень рискуют, не моё конечно дело, но тот чувак, который рассказал как юзать эту хрень, уже внедрил её им на сайт
:
Обратите внимание, что сделано всё профессионально и на адреса сайта-регистрации:
Вот ещё статья от Мазохакера, более понятная:
На hpc.name прикольно сделали, картинки по умолчанию не грузятся, а отображается ссылка, в целом почти как здесь, за исключением что здесь при нажатие на ссылку, картинка грузится в новом окне, а там прямо в пост !
В целом отключение внешних ссылок мне понравилось, а то что-то часто сюда заливали картинки с сомнительных сервисов типо радикал и т.д., сейчас стало более безопасно !
уже удалил, отличное для родителей в которых есть детки, и не выдает себя что что то блочит, так что детки бы и сидели мирно и тихо не шастая по таким сайтам.
