javascript - 使用 img 标签加载不受信任的 SVG 时的 XSS

标签 javascript svg xss

使用img 加载不受信任的SVG 文件时是否存在XSS 威胁?标签?

如:<img src="untrusted.svg"/>

我读到大多数浏览器在通过 img 加载的 svg 文件中禁用脚本标签。

最佳答案

这曾经在某些浏览器中有效,但现在不行了。但是有一个相关的问题。如果我作为一个不知情的用户,右键单击并下载图像,然后在本地打开它,它很可能会在浏览器中打开并运行脚本。考虑到它是一张图片,这有点奇怪。我想如果您右键单击并选择“查看图像”也可能导致脚本运行,因为您直接打开了它。

关于javascript - 使用 img 标签加载不受信任的 SVG 时的 XSS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7917008/

上一篇:javascript - 异步加载 google maps V3 时将数据传递给回调

下一篇:javascript - 'unspecified error'在IE中是什么意思?

相关文章:

javascript - 我可以实时检查 NodeJS 中的标准输出吗?

javascript - 默认为文件夹中的任何 html 文件

javascript - 使用静态方法删除 componentWillUnmount 上的监听器

javascript - 垂直居中部分 svg 内容

javascript - 如何/在哪里可以在包含用户输入的所有响应中添加 “X-Content-Type-Options: nosniff”

javascript - 我正在努力通过每次加载循环视频时使用我的代码来为 youtube api 设置循环。我只循环播放了一个视频

ios - SVG/iOS - 如何使用 SVGKit?

javascript - 具有一致比例的圆形包装矩阵

security - 使用用户输入的 URL 处理安全性并避免 XSS 的最佳方法

cookies - HttpOnly 和 document.cookie 的

©2024 IT工具网  联系我们