一些较旧的浏览器很容易受到XSS攻击
@H_403_2@<img src="javascript:alert('yo')" />
当前版本的IE,FF,Chrome不是.
如果任何浏览器容易受到类似的攻击,我很好奇:
@H_403_2@<img src="somefile.js" />要么
@H_403_2@<iframe src="somefile.js" />或者其他类似的,其中somefile.js包含一些恶意脚本.
解决方法
图像数据从不执行为JavaScript.如果src是JavaScript链接,则JavaScript被执行,但是从对src的请求的基本读取数据不涉及JavaScript.