前端之家收集整理的这篇文章主要介绍了
javascript – 使用img标签加载不可信SVG时的XSS,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
使用
img标签加载不可信SVG
文件时是否存在XSS的威胁?
如下:< img src =“untrusted.svg”/>
我已经阅读大多数浏览器禁用通过img标签加载的svg文件中的脚本.
这曾经在一些浏览器中工作,但不再是这样.但是有一个相关的问题.如果我是一个不知不觉的
用户,右键单击并下载图像,然后在本地打开它,它可能会在浏览器中打开,脚本将运行.考虑到这是一个形象,这有点奇怪.我想如果你右键单击并选择“查看图像”,这也可能导致脚本运行,因为你打开它.
原文链接:https://www.f2er.com/js/155001.html
