0
是否有人知道使用< img src =「data:xxxxx」>其中用戶提供內容的任何安全問題?假設內容經過驗證,因此它適合數據URI的格式,因此它不能脫離標籤,並且也限制爲圖像MIME類型。使用數據URI方案和img標記的攻擊
http://en.wikipedia.org/wiki/Data_URI_scheme
A
回答
2
肯定有不同的代碼參與,但它可能並不比正常的IMG聯繫更加易受攻擊。
1
我認爲這應該是安全的。至於圖像的數據URI語法是相當嚴格的:
data:image/<subtype>;base64,<base64-stream>
這將是容易驗證(參見例如RegEx to parse or validate Base64 data)。
我能想到的唯一的漏洞是解析/呈現圖像的組件中的一個漏洞。
相關問題
- 1. 爲什麼使用數據URI方案?
- 2. 需要幫助使用XSL-FO和數據URI方案
- 3. 什麼是C++方案的標記數據的替代方案
- 4. 如何使用URI方案
- 5. 使用URI方案與%APPDATA%
- 6. IMG數據:URI無效
- 7. 數據URI或sprites的替代方案?
- 8. 使用amp-img標記代替圖像的img標記 - Sphinx
- 9. WordPress的:避免使用數據URI方案
- 10. PHPMailer,AddStringAttachment和Data URI方案
- 11. 如何使用img標記
- 12. 用於wordpress的URI方案
- 13. 失敗通過使用數據URI方案
- 14. 使用數據URI方案,而不是一個URL
- 15. 插入一個IMG標記爲使用JavaScript和錨標記
- 16. 防止數據庫攻擊
- 17. 數據完整性攻擊
- 18. 發現攻擊數據包
- 19. 禁用img標記
- 20. 禁用img標記
- 21. 訪問<img>標記數據
- 22. 使用數據的css光標-Uri
- 23. drawImage()和<img>標記
- 24. 使用SamAccountName來標識數據庫記錄中的用戶的替代方案
- 25. Javascript點擊功能img標記
- 26. 使用預標記的img代碼
- 27. 使用DOMdocument和getElementByTagName函數從網頁中提取img標記
- 28. 從IMG標記
- 29. 攻擊玩家的方法
- 30. 數據URI在IMG SRC標籤沒有找到