是否有人知道使用< img src =「data:xxxxx」>其中用戶提供內容的任何安全問題?假設內容經過驗證,因此它適合數據URI的格式,因此它不能脫離標籤,並且也限制爲圖像MIME類型。使用數據URI方案和img標記的攻擊
http://en.wikipedia.org/wiki/Data_URI_scheme
是否有人知道使用< img src =「data:xxxxx」>其中用戶提供內容的任何安全問題?假設內容經過驗證,因此它適合數據URI的格式,因此它不能脫離標籤,並且也限制爲圖像MIME類型。使用數據URI方案和img標記的攻擊
http://en.wikipedia.org/wiki/Data_URI_scheme
肯定有不同的代碼參與,但它可能並不比正常的IMG聯繫更加易受攻擊。
我認爲這應該是安全的。至於圖像的數據URI語法是相當嚴格的:
data:image/<subtype>;base64,<base64-stream>
這將是容易驗證(參見例如RegEx to parse or validate Base64 data)。
我能想到的唯一的漏洞是解析/呈現圖像的組件中的一個漏洞。