一些较旧的浏览器很容易受到XSS攻击
<img src="javascript:alert('yo')" />
@H_502_4@当前版本的IE,FF,Chrome不是.
@H_502_4@如果任何浏览器容易受到类似的攻击,我很好奇:
<img src="somefile.js" />@H_502_4@要么
<iframe src="somefile.js" />@H_502_4@或者其他类似的,其中somefile.js包含一些恶意脚本.
解决方法
图像数据从不执行为JavaScript.如果src是JavaScript链接,则JavaScript被执行,但是从对src的请求的基本读取数据不涉及JavaScript.
