一些较旧的浏览器很容易受到XSS攻击
<img src="javascript:alert('yo')" />
当前版本的IE,FF,Chrome不是.@H_301_5@
如果任何浏览器容易受到类似的攻击,我很好奇:@H_301_5@
<img src="somefile.js" />
要么@H_301_5@
<iframe src="somefile.js" />
或者其他类似的,其中somefile.js包含一些恶意脚本.@H_301_5@
解决方法
图像数据从不执行为JavaScript.如果src是JavaScript链接,则JavaScript被执行,但是从对src的请求的基本读取数据不涉及JavaScript.