1
作爲這方面的無知,我打電話約多所社區教育我在此。安全方面,顯示<img>源於.html擴展名是否安全?
在社區留言板上允許帶有.html擴展名的<img>源安全嗎?我看到的一個例子是有人採購了這些圖像中的20個,這些圖像在頁面上呈現時會輸出查看器位置的字母。
A
回答
1
如果您希望您可以執行PHP作爲圖像的一部分(這是如何顯示有關遠程框的信息,通過使用PHP動態生成圖像);類似地,您可以強制服務器爲具有隨機擴展名(包括.html)的正確標頭的圖像提供服務。
所以限制了img標籤擴展真的會什麼都做不好;它總是在圖像的上下文中執行,瀏覽器期望一個圖像,並且如果返回了其他內容,它將不會呈現。這些事情唯一重要的可能是CSRF漏洞,因爲無論圖像的有效性如何,瀏覽器總是會請求目標網址,所以你可以強制某人在查看你的頭像時註銷(以最簡單的形式把http://thecurrentsite.com/?logout作爲你的頭像)。 因此總的來說,你不需要擔心代碼注入,但是即使你使用的是請求令牌,最好限制可能被插入的URL的變化性(禁止本地URL,頁面片段標識符等) 。
相關問題
- 1. 鉻擴展是否安全?
- 2. 這個擴展方法是否安全?
- 3. 角擴展$範圍是否安全?
- 4. Crossrider擴展 - 它們是否安全
- 5. 沒有文件擴展名的頁面資源安全嗎?
- 6. htmlentities安全地顯示html
- 7. Firefox擴展安全策略
- 8. Web API擴展安全
- 9. 擴展Spring安全UsernamePasswordAuthenticationFilter
- 10. 擴展TextBox的UseSystemPasswordChar安全
- 11. Firefox擴展安全問題
- 12. 在SQL注入方面是否安全?
- 13. 線程安全的IQueryable擴展方法
- 14. 公開顯示phpinfo()是否安全?
- 15. ConcurrentHashMap是否完全安全?
- 16. mailx與uuencode是否安全,如果不是安全的方式
- 17. 如何使HTTPS iframe顯示安全頁面安全
- 18. 在我的html中顯示AWS認知池ID是否安全?
- 19. 瀏覽器安全錯誤:「由於安全違規,此頁面無法顯示」
- 20. Context.MODE_PRIVATE是否安全?
- 21. const_cast是否安全?
- 22. BrowserID是否安全?
- 23. Locale.setDefault()是否安全?
- 24. Titanium.App.Properties是否安全
- 25. AfxBeginThread是否安全?
- 26. signed_request是否安全?
- 27. PhoneGap是否安全?
- 28. Redux是否安全?
- 29. session_set_cookie_params是否安全?
- 30. <span style = ...>是否安全衛生?
,什麼是在向用戶展示自己的語言環境的安全問題? – JJJ
感謝您的鏈接。輸出用戶的語言環境沒有任何問題。我只是以此爲例。我更擔心代碼注入的可能性 – Viet
我們可以看看這個例子嗎? –