Der*_*k H 5 security favicon cross-domain
我有一个用户提交的新闻文章的网站,我对一个功能的想法是抓住目标网站上的favicon以显示链接.
抓取favicon的方法是检查目标服务器上的favicon.ico文件.将该图标显示为图像会打开任何一个洞吗?可能有某种恶意的图标吗?将图像服务器端转换为不同的文件格式会否定风险吗?
几年前,Window的JPEG解析器存在一个漏洞.未来可能会以其他格式发现漏洞,但我认为按原样显示它是非常安全的,并且如果威胁被公布,请保持警惕应用补丁.
但是,为了保护用户的隐私,您应该在服务器上缓存favicon,并让用户的浏览器从那里获取它.另一方面,一些网站可能会通过在您的网站上显示他们的图标来感觉您侵犯了他们的知识产权.再说一遍,在他们要求你停下来之前我可能不会太担心.