我有一个用户提交的新闻文章的网站,我对一个功能的想法是抓住目标网站上的favicon以显示链接。
抓取favicon的方法是检查目标服务器上的favicon.ico文件。将该图标显示为图像会打开任何一个洞吗?可能有某种恶意的图标吗?将图像服务器端转换为不同的文件格式会否定风险吗?
答案 0 :(得分:6)
几年前,Window的JPEG解析器出现了漏洞。未来可能会以其他格式发现漏洞,但我认为您可以非常安全地按原样显示漏洞,并在威胁发布时保持警惕应用补丁。
但是,为了保护用户的隐私,您应该在服务器上缓存favicon,并让用户的浏览器从那里获取它。另一方面,某些网站可能会在您的网站上显示他们的网站图标,从而侵犯了他们的知识产权。再说一遍,在他们要求你停下来之前我可能不会太担心。
答案 1 :(得分:2)
隐私是我的主要关注点,因为有时候会使用收藏夹来跟踪谁为网页添加书签。至少它会搞砸他们的数据,因为他们认为有更多的人将它们加入书签,而不是真正的。
当浏览器使用它们时,我认为现在最常采用的推荐行为是,当您访问该站点然后在浏览器中缓存时,仅获取favicon。当用户提交文章并对其进行缓存时,我会通过获取图标来执行相同的服务器端(同时您可以利用此机会验证链接是否有效,提取摘要等)。
答案 2 :(得分:0)
在包含您无法控制的内容时,总会存在某些风险。
例如,如果浏览器x中的图像渲染器遇到缓冲区溢出漏洞,则托管源图像的站点的所有者可能会将原始图标替换为恶意图标。您的用户可能会在您不知情的情况下被您的网站感染。
答案 3 :(得分:0)
作为对其他答案的补充,你应该知道现在很多(大多数?)网站的网络根目录中没有文件favicon.ico,但是HTML {{1}中有这样的标记}}:
head图标的格式可以是<link rel="shortcut icon" href="http://www.example.com/images/icon.png">
以外的其他格式。