是否有人知道使用< img src =“data:xxxxx”>的任何安全问题用户提供内容的位置?假设内容已经过验证,因此它符合数据URI的格式,因此不会突破标记,也仅限于图像mime类型。
答案 0 :(得分:2)
肯定有不同的代码,但它可能不会比普通的img链接更具攻击性。
答案 1 :(得分:1)
我认为这应该是安全的。由于图像的数据URI语法非常严格:
data:image/<subtype>;base64,<base64-stream>
验证很容易(例如参见RegEx to parse or validate Base64 data)。
我能想到的唯一漏洞就是解析/渲染图像的组件中的漏洞。