javascript – 使用img标签加载不可信SVG时的XSS

前端之家收集整理的这篇文章主要介绍了javascript – 使用img标签加载不可信SVG时的XSS前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
使用img标签加载不可信SVG文件时是否存在XSS的威胁?

如下:< img src =“untrusted.svg”/>

我已经阅读大多数浏览器禁用通过img标签加载的svg文件中的脚本.

解决方法

这曾经在一些浏览器中工作,但不再是这样.但是有一个相关的问题.如果我是一个不知不觉的用户,右键单击并下载图像,然后在本地打开它,它可能会在浏览器中打开,脚本将运行.考虑到这是一个形象,这有点奇怪.我想如果你右键单击并选择“查看图像”,这也可能导致脚本运行,因为你打开它.

猜你在找的JavaScript相关文章