javascript - 为什么javascript是: URIs allowed in the src attribute of <img> tags?

标签 javascript html security xss image

几乎在我见过的所有 XSS 缓解指南中,都提到了以下模式:

<img src="javascript:evil();">

这可能有什么合法用途?能不能用JS代码生成base64编码的表示什么的?

最佳答案

它没有很多合法用途。

它的工作方式可能是因为你可以在那里使用任何协议(protocol),并且一些浏览器实现了 javascript 伪协议(protocol),可以从多个地方调用它。

关于javascript - 为什么javascript是: URIs allowed in the src attribute of <img> tags?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12658992/

相关文章:

javascript - jQuery json 对象 if 语句

html - 将横幅放置在网站的左侧并将横幅与内容对齐

javascript - ASP.NET 中的 x-frame-option SAMEORIGIN 和点击劫持

用于密码存储的 asp.net keystore ?

jquery - 试图在中心做一个简单的水平对齐

java - 使用 RMI 编写安全的 Java 代码

javascript - D3 - 对数刻度面积图

javascript - ASP.NET 无法加载 CSS 和 Javascript 文件

javascript - 从 jquery 调用 Mirth 'client api' 服务

html - 你能帮我做这个下拉菜单吗?