10
使用img標記加載不可信的SVG文件時,XSS的威脅是否存在?使用img標記加載不可信的SVG時的XSS
如:<img src="untrusted.svg"/>
我讀過,大多數瀏覽器禁用通過img標籤加載SVG文件的腳本。
A
回答
5
這用於在某些瀏覽器中工作,但不再是。但是有一個相關的問題。如果我作爲一個不知情的用戶,右鍵單擊並下載圖像,然後在本地打開它,它可能會在瀏覽器中打開,腳本將運行。考慮到它是一個圖像,這有點奇怪。我想,如果你右鍵點擊並選擇「查看圖像」,也可能導致腳本運行,因爲你直接打開它。
+2
如果您在本地打開文件,您可以運行該腳本,但在該環境中無法真正做到這一點。一旦它在本地加載,JavaScript的相同原產地策略將阻止它訪問任何cookie或其他敏感信息。 – aecend
2
是的,當使用SVG時,XSS威脅確實存在,大多數瀏覽器都不允許腳本運行,但如果通過電子郵件發送,那麼它可能會運行。
一些鏈接的問題:
Scalable Vector Graphics and XSS
Why does this XSS vector work in svg but not in HTML?
SVG Fun Time - Firefox SVG Vector + Bypassing Chrome XSS Auditor
相關問題
- 1. Chrome不呈現通過<img>引用的SVG標記
- 2. 加載到img標籤的Svg是空白的
- 3. 使用amp-img標記代替圖像的img標記 - Sphinx
- 4. 將SVG元素放在img標記上
- 5. 如何隱藏<img>標記的邊界(當img加載錯誤時)
- 6. 加載javascript文件在/根SVG標記
- 7. 使用itext加載在線圖像<img>標記
- 8. 在img下使用svg文件標籤
- 9. Java和SVG使用img標籤
- 10. 如何使用img標記
- 11. 忽略<image>標籤? SVG在加載時不加載
- 12. jQuery的IMG不加載「SCR」
- 13. 使用預標記的img代碼
- 14. 如何在防止XSS的同時允許使用<img>?
- 15. 當使用svg-pan-zoom時,可以加載svg代碼而不是加載文件嗎?
- 16. 禁用img標記
- 17. 禁用img標記
- 18. 當使用javascript在IE上添加img標記時,onmouseover不起作用
- 19. XDK - 如何使用img標記從Android中的URL加載圖像
- 20. 何時加載Vim中的標記信息?
- 21. 使用jQuery的SVG鏈接標記
- 22. 在webkit瀏覽器中使用<img>標記時,嵌入位圖的SVG不顯示位圖
- 23. 當使用<img>標籤嵌入時,SVG填充轉換不起作用
- 24. IMG標記不帶圖像
- 25. Beautifulsoup不能從IMG標記
- 26. 使用gif的img標籤內部的svg圖像不起作用
- 27. 隨機SVG圖標不會加載
- 28. jQuery的SVG-對象標記加載事件
- 29. 從IMG標記
- 30. 加載不可信配置
所有的瀏覽器禁用腳本的img標籤據我所知,讓你找到一個沒有按我知道「T。 –