鉴于该网站是一个论坛,因此包含大量用户生成的内容,恶意用户很容易添加这样的图像,然后可能会收集一两个人的登录凭据并输入他们的站点凭据进入对话框.
有没有办法阻止显示凭据提示而不使用图像主机的白名单(不理想,因为它对用户非常严格)或确保图像在允许之前可以访问(可以解决)?
但请注意,这仅限于使用Access-Control-Allow-Origin标头提供的图像,该标头必须设置为*或页面的原点.如果标题被省略或不正确,则不会渲染图像,而是显示损坏的图像错误.这使得这个解决方案相当无用,但不幸的是似乎没有替代方案.