用户可以在 <img> src 属性中执行哪些恶意操作?

【问题标题】:What malicious things can a user do in an <img> src attribute?用户可以在 <img> src 属性中执行哪些恶意操作?
【发布时间】:2020-05-10 04:28:07
【问题描述】:

我正在开发一个应用程序,用户可以在其中提供一个 url 用作 元素中的 src

我需要注意哪些事项才能确保恶意用户无法利用此功能?我已经在转义 HTML 字符(将 " 替换为 " 等等)。

我想知道 JavaScript 是否从 src 属性运行以及其他鲜为人知的危险。

【问题讨论】:

  • 如果传递给图像元素的src,Javascript 将不会被执行。只会导致错误 url 的网络错误

标签: javascript html element html-escape-characters


【解决方案1】:

我认为这里最大的危险只是来自用户选择的实际图像。您可能希望在用户选择图像之前将某些域列入黑名单或提供一些可接受的使用信息,以确保他们不会向其他用户显示成人或其他 NSFW 内容。解析他们提供的 URI 并系统地构建图像标签是确保他们无法以任何方式欺骗系统的最佳方式。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-12-21
    • 2011-01-16
    • 1970-01-01
    • 2013-07-16
    • 2011-11-14
    • 2018-06-23
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode