那些遇到过的问题

使用img标记加载不受信任的SVG时的XSS

Bas*_*ijk 12 javascript xss svg

使用img标记加载不受信任的SVG文件时是否存在XSS威胁?

如: <img src="untrusted.svg"/>

我已经读过大多数浏览器禁用通过img标签加载的svg文件中的脚本.

Erl*_*end 5

这曾经在某些浏览器中运行,但现在不再适用.但是有一个相关的问题.如果我作为一个不知情的用户,右键单击并下载图像,然后在本地打开它,它可能会在浏览器中打开并运行脚本.考虑到它是一个图像,这有点奇怪.我想如果你右键单击并选择"查看图像",这也可能导致脚本运行,因为你可以直接打开它.

  • 如果您在本地打开文件,那么您可以运行脚本是对的,但在该环境中它实际上无法做很多事情.JavaScript的相同原始策略阻止它在本地加载后访问任何cookie或其他敏感信息. (3认同)

归档时间:

查看次数:

3640 次

最近记录:

11 年,7 月 前
相关归档
将正确的"this"上下文传递给setTimeout回调? 226
你如何检测清除"搜索"HTML5输入? 135
Javascript构造函数属性的意义是什么? 118
获取Json对象上的项目总数? 96
Promise.resolve vs new Promise(解决) 77
v8 const,let和var的JavaScript性能影响? 66
JSF SelectItems和转义(xss) 10
canvg生成的画布在视网膜屏幕上模糊 10
是否有用作CSS背景的SVG的polyfill? 7
为SVG的g元素设置X和Y值 3
难疑归档
如何删除子模块? 3366
如何在特定索引(JavaScript)的数组中插入项? 2709
显示两个修订版之间已更改的文件 2041
如何从列表中随机选择一个项目? 1656
<button>与<input type ="button"/>.哪个用? 1588
什么是C++ 11中的lambda表达式? 1408
如何自动调整图像大小以适合div容器 1394
如何完全卸载Node.js,并从头开始重新安装(Mac OS X) 1196
如何在Node.js上的Express.js中获取GET(查询字符串)变量? 1115
查找包含具有指定名称的列的所有表 - MS SQL Server 1090