作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
假设我允许用户链接到他们喜欢的任何图像。该链接将被检查语法正确性、转义等,然后插入 <img src="..."/>
中。标签。
是否存在任何已知的安全漏洞,例如由某人链接到“evil.example.com/evil.jpg”,并且evil.jpg 包含一些由于浏览器错误或类似原因而执行的代码?
(让我们忽略 CSRF 攻击 - 我只允许具有典型图像文件后缀的 URL 就足够了。)
最佳答案
图像文件中的安全风险时常出现。这是一个示例:https://web.archive.org/web/1/http://articles.techrepublic%2ecom%2ecom/5100-22_11-5388621.html?tag=nl.e019 。这是一篇旧文章,所以显然这些事情已经流传了一段时间。
虽然不可能肯定地说某些东西总是安全/永远不安全,但到目前为止,听起来风险相对较低,并且图像查看器制造商很快就修复了补丁。 IMO 最好的测试是您听到实际问题发生的频率。多年来,这种威胁媒介的可能性已为人所知,但尚未真正广泛传播。考虑到人们在公共(public)论坛中链接图像的程度,如果这是一种现实的攻击,我预计它很快就会成为一个大问题。
关于security - 内容未知的图片: Dangerous for a browser?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3022470/
我是一名优秀的程序员,十分优秀!