使用img
加载不受信任的SVG 文件时是否存在XSS 威胁?标签?
如:<img src="untrusted.svg"/>
我读到大多数浏览器在通过 img
加载的 svg 文件中禁用脚本标签。
最佳答案
这曾经在某些浏览器中有效,但现在不行了。但是有一个相关的问题。如果我作为一个不知情的用户,右键单击并下载图像,然后在本地打开它,它很可能会在浏览器中打开并运行脚本。考虑到它是一张图片,这有点奇怪。我想如果您右键单击并选择“查看图像”也可能导致脚本运行,因为您直接打开了它。
关于javascript - 使用 img 标签加载不受信任的 SVG 时的 XSS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7917008/