gpt4 book ai didi

javascript - 可以通过将代码加载到 img 元素中来执行代码吗?

转载 作者:可可西里 更新时间:2023-11-01 15:00:58 26 4
gpt4 key购买 nike

我读到来自用户的图像应该被净化。为了了解如何防止漏洞利用,我需要了解危险是如何表现出来的。如果加载的是代码而不是图像,浏览器会允许代码在 img 元素中执行吗?或者还有其他一些情况需要防范吗?谢谢。

最佳答案

是的,图像中的代码将由浏览器执行:

http://lcamtuf.coredump.cx/squirrel/

如果我们查看此文件的源代码,我们会看到在图像的有效二进制代码中嵌入了有效的 html。浏览器会看到这个并说“嘿!我知道该怎么做!”并渲染它。不难想象把js放在<script>里面图像中的标签会对您的用户做出各种令人讨厌的事情。

关于javascript - 可以通过将代码加载到 img 元素中来执行代码吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50336216/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com