带有图像文件的 XSS？

XSS with an image file?

security
xss

我想知道是否可以使用图像进行存储型 XSS 攻击。

如果站点未受到 XSS 保护并且有一个字段，您可以在其中上传图像文件，其他用户稍后可以打开该文件。有没有办法利用XSS执行恶意代码？

干杯

使用可交换图像文件格式 (Exif) 的跨端脚本

标准 JPG 的 Exif 内容可以更改并接受任何字符，包括跨站点脚本代码。

根据脚本使用的Exif标签，脚本可以执行里面的恶意代码。

所以这是可能的。为缓解此问题，必须在输出任何 Exif 标签之前进行清理。

供您阅读：1 2