我已经知道应该清理来自用户的图像。为了理解如何防止漏洞利用,我需要了解危险是如何表现出来的。浏览器是否允许代码在img元素中执行,如果它加载代码而不是图像?还是有其他一些情况需要防范?感谢。
答案 0 :(得分:0)
是的,浏览器将执行图像中的代码:
http://lcamtuf.coredump.cx/squirrel/
如果我们查看此文件的来源,我们会看到图像的有效二进制代码中嵌入了有效的html。浏览器会看到这个并说“嘿!我知道该怎么做!”并只是渲染它。不难想象将js放在<script>标签内的图像中会对用户做各种令人讨厌的事情。