用户可以在 <img> src 属性中执行哪些恶意操作?
What malicious things can a user do in an <img> src attribute?
我正在开发一个应用程序,用户可以在其中提供 url 用作 ![]()
元素中的 src。
我需要注意哪些事项才能确保恶意用户无法利用此功能?我已经转义了 HTML 字符(将 " 替换为 " 等等)。
我想知道诸如 JavaScript 是否 运行 来自 ![]()
src 属性和其他鲜为人知的危险之类的事情。
我认为这里最大的危险来自用户选择的实际图像。您可能希望将某些域列入黑名单或在用户选择图像之前向他们提供一些可接受的使用信息,以确保他们不会向其他用户显示成人或其他 NSFW 内容。解析他们提供的 URI 并系统地构建图像标签是确保他们无法以任何方式欺骗系统的最佳方法。
我正在开发一个应用程序,用户可以在其中提供 url 用作 元素中的 src。
我需要注意哪些事项才能确保恶意用户无法利用此功能?我已经转义了 HTML 字符(将 " 替换为 " 等等)。
我想知道诸如 JavaScript 是否 运行 来自 src 属性和其他鲜为人知的危险之类的事情。
我认为这里最大的危险来自用户选择的实际图像。您可能希望将某些域列入黑名单或在用户选择图像之前向他们提供一些可接受的使用信息,以确保他们不会向其他用户显示成人或其他 NSFW 内容。解析他们提供的 URI 并系统地构建图像标签是确保他们无法以任何方式欺骗系统的最佳方法。