首页
人工智能
编程教程
编程导航
编程百科
编程问答
编程博文
编程实例
硬件设备
网络运营
软件教程
移动数码
办公软件
操作系统
网络运维
javascript – 使用img标签加载不可信SVG时的XSS
JavaScript
2020-03-16
使用
img标签
加载不可信SVG
文件
时是否存在XSS的威胁?
如下:< img src =“untrusted.svg”/>
我已经阅读大多数浏览器禁用通过
img标签
加载的svg
文件
中的脚本.
解决方法
这曾经在一些浏览器中工作,但不再是这样.但是有
一个
相关的问题.如果我是
一个
不知不觉的
用户
,右键单击并下载图像,然后在本地打开它,它可能会在浏览器中打开,脚本将运行.考虑到这是
一个
形象,这有点奇怪.我想如果你右键单击并选择“查看图像”,这也可能导致脚本运行,因为你打开它.
相关文章
自定义web弹窗/层:简易风格的msg与可拖放的dialog,生成博客园文章目录弹窗
前言 做过web项目开发的人对layer弹层组件肯定不陌生,作为l...
nice-validator表单验证插件的简单使用
前言 前端表单校验是过滤无效数据、假数据、有毒数据的第一步...
基于“formData批量上传的多种实现” 的多图片预览、上传的多种实现
前言 图片上传是web项目常见的需求,我基于之前的博客的代码...
踹掉后端,前端导出Excel!
前言 导出Excel文件这个功能,通常都是在后端实现返回前端一...
Web Worker——js的多线程,实现统计博客园总阅读量、总评论量、总推荐量
前言 众所周知,js是单线程的,从上往下,从左往右依次执行,...
select标签 禁止选择但又能通过序列化form表单传值到后台
前言 项目开发中,我们可能会碰到这样的需求:select标签,禁...