javascript - 为什么javascript是: URIs allowed in the src attribute of <img> tags?

标签 javascript html security xss image

几乎在我见过的所有 XSS 缓解指南中,都提到了以下模式:

<img src="javascript:evil();">

这可能有什么合法用途?能不能用JS代码生成base64编码的表示什么的?

最佳答案

它没有很多合法用途。

它的工作方式可能是因为你可以在那里使用任何协议(protocol),并且一些浏览器实现了 javascript 伪协议(protocol),可以从多个地方调用它。

关于javascript - 为什么javascript是: URIs allowed in the src attribute of <img> tags?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12658992/

相关文章:

security - 如何在 QtWebKit 中禁用 X-Frame-Options

javascript - 使用 jQuery 删除元素但保留文本

javascript - 将 JQuery 添加到文件后 Input-group-btn 未显示

security - Firefox或Chrome插件可阻止和过滤所有传出连接

python - 使用python生成促销代码

jquery - ajax如何从golang代码中获取数据?

javascript - 在 js/node.js 中编辑 json?

javascript - XAMPP 不会更新 Web 源文件,直到它们在 Chrome 上提交给 Git

javascript - 使用 JQuery 更新表单提交上显示的 div

javascript - 如何通知另一个组件该方法执行