gpt4 book ai didi

security - 内容未知的图片: Dangerous for a browser?

转载 作者:行者123 更新时间:2023-12-02 19:19:37 25 4
gpt4 key购买 nike

假设我允许用户链接到他们喜欢的任何图像。该链接将被检查语法正确性、转义等,然后插入 <img src="..."/> 中。标签。

是否存在任何已知的安全漏洞,例如由某人链接到“evil.example.com/evil.jpg”,并且evil.jpg 包含一些由于浏览器错误或类似原因而执行的代码?

(让我们忽略 CSRF 攻击 - 我只允许具有典型图像文件后缀的 URL 就足够了。)

最佳答案

图像文件中的安全风险时常出现。这是一个示例:https://web.archive.org/web/1/http://articles.techrepublic%2ecom%2ecom/5100-22_11-5388621.html?tag=nl.e019 。这是一篇旧文章,所以显然这些事情已经流传了一段时间。

虽然不可能肯定地说某些东西总是安全/永远不安全,但到目前为止,听起来风险相对较低,并且图像查看器制造商很快就修复了补丁。 IMO 最好的测试是您听到实际问题发生的频率。多年来,这种威胁媒介的可能性已为人所知,但尚未真正广泛传播。考虑到人们在公共(public)论坛中链接图像的程度,如果这是一种现实的攻击,我预计它很快就会成为一个大问题。

关于security - 内容未知的图片: Dangerous for a browser?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3022470/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com