几乎在我见过的所有 XSS 缓解指南中,都提到了以下模式:
<img src="javascript:evil();">
这可能有什么合法用途?能不能用JS代码生成base64编码的表示什么的?
最佳答案
它没有很多合法用途。
它的工作方式可能是因为你可以在那里使用任何协议(protocol),并且一些浏览器实现了 javascript
伪协议(protocol),可以从多个地方调用它。
关于javascript - 为什么javascript是: URIs allowed in the src attribute of <img> tags?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12658992/