使用img标签加载不受信任的SVG文件时,是否存在XSS攻击的威胁?
例如:<img src="untrusted.svg"/>
我已经阅读过大多数浏览器会禁用通过img标签加载的svg文件中的脚本。
使用img标签加载不受信任的SVG时存在XSS漏洞。
14
- Bas van Dijk
1
7据我所知,所有浏览器都会禁用img标签的脚本功能。如果你找到了一个不这样做的浏览器,请告诉我。 - Erik Dahlström
2个回答
6
这在一些浏览器中曾经有效,但现在不再有效。然而,有一个相关的问题。如果我作为一个不知情的用户,右键单击并下载图像,然后在本地打开它,它很可能会在浏览器中打开,并运行脚本。考虑到它是一张图片,这有点奇怪。我想,如果你右键选择“查看图像”,也可能导致脚本运行,因为你直接打开了它。
- Erlend
1
3如果你本地打开文件,脚本可以运行。但是在这种情况下,它的功能会非常受限制。由于JavaScript的同源策略,一旦在本地加载后就无法访问任何cookie或其他敏感信息。 - aecend
3
是的,在使用SVG时存在XSS威胁,大多数浏览器不允许脚本运行,但如果通过电子邮件发送,则可能会运行。
一些问题的链接: 可伸缩矢量图形和XSS 为什么这个XSS向量在svg中有效但在HTML中无效? SVG乐趣时间 - Firefox SVG矢量图形+绕过Chrome XSS审计程序 有关危险SVG的PDF
一些问题的链接: 可伸缩矢量图形和XSS 为什么这个XSS向量在svg中有效但在HTML中无效? SVG乐趣时间 - Firefox SVG矢量图形+绕过Chrome XSS审计程序 有关危险SVG的PDF
- Lemuel Botha
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接