在img src属性中使用javascript进行XSS攻击

Question

一些旧的浏览器容易受到XSS攻击

<img src="javascript:alert('yo')" />

IE,FF,Chrome的当前版本不是.

我很好奇任何浏览器是否容易受到类似的攻击:

<img src="somefile.js" />

要么

<iframe src="somefile.js" />

或somefile.js包含一些恶意脚本的其他类似内容.

Answer 1

所有主流浏览器仍然容易受到这些攻击.大量使用img标签的方法仍然存在.例如......

<img src='#' onerror=alert(1) />

寻找RSnake的xss cheatsheet,这些只是一些向量.顺便说一句,我听说他很快就会拿出一个新版的cheatsheet.

不错的技巧，但如果存在 XSS 漏洞并且网站正确使用 CSP 标头，则该技巧将不起作用。我在 https://securityheaders.com/ 的浏览器控制台中尝试了以下代码： `var img = document.createElement("img"); img.setAttribute("src", "#"); img.setAttribute("onerror", "alert(1);"); document.body.appendChild(img);` 错误消息：`内容安全策略：页面的设置阻止自行加载资源（“script-src”）。来源：IMG 元素上的 onerror 属性。` (2认同)

Answer 2

不会.图像数据永远不会作为JavaScript执行.如果src是JavaScript链接,则执行JavaScript,但是对src的请求产生的数据的基本读取不涉及JavaScript.