7个回答
3
请查看XSS检查清单。
(注:XSS是一种跨站脚本攻击技术)- ryeguy
1
谢谢,我正在使用CodeIgniter框架,它有一个xss_clean()函数。我尝试了该网站上大约一半的示例,经过xss_clean()处理后,它用字符串"[removed]"替换了所有易受攻击的文本。 - Dolph
3
可以构建一个既是有效的JavaScript文件又是图像的图像,并让浏览器执行它。请参见http://www.thinkfu.com/blog/?p=15
SVG图像(mime-type image / svg + xml)可以包含JavaScript。请参见http://www.w3.org/TR/SVG/interact.html
- Mike Samuel
1
哎呀,这正是我担心的事情。谢谢。 - Dolph
2
您想阅读关于XSS(跨站脚本攻击)和XSRF(跨站请求伪造)的内容。
< p > 编辑:
如ryeguy所指出的那样,您几乎可以复制并粘贴XSS(跨站脚本攻击)Cheat Sheet中的任何示例,并相应地寻求最佳预防方法。
- Alex Bagnolini
1
此外,在新版浏览器中,可以使用{{link1:inline data}}将整个图像插入到URL中。虽然可能通过这种方式注入某些内容,但这需要一个巨大的浏览器端安全漏洞,并且我不知道如何对此进行消毒。
也许您只想限制对某些域的访问,或者检查图像是否实际存在?这可能已经有很大帮助了。
也许您只想限制对某些域的访问,或者检查图像是否实际存在?这可能已经有很大帮助了。
- Pekka
1
CSRF:
(Note: This is already in Chinese characters, as there is no need to translate programming-related terms such as CSRF)<img src="http://example.org/accounts/123/delete" />
- orip
0
除了迄今为止的伟大答案外,xss防范清单实际上并没有考虑到像onmouseover、onhover等事件属性。这些都是设计上的,允许某人在发生某些事情时运行一些javascript代码。
- Collin
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 6 在页面加载后(例如通过 AJAX),对于创建的 <img> 标签捕获图像加载错误
- 5 通过src值查找img标签并在img标签中添加新属性
- 3 如何在第一个img标签之前和第二个img标签之后添加HTML代码?
- 6 如何防止 <img> 标签加载其图片?
- 14 通过<img>标签注入javascript
- 5 从<img>标签中获取HTTP状态代码或响应头?
- 46 使用<h:graphicImage>或<img>标签从webapps / webcontext / deploy文件夹外加载图像
- 3 如何通过<img src>或<a href>标签验证图像在前端是否可见/存在。
- 18 img标签如何通过CORS头获取内容
- 8 懒加载CSS背景图(不是HTML <img>标签)