为什么在<img>标记的src属性中允许使用javascript: URIs?
为什么在<img>标记的src属性中允许使用javascript: URIs?
提问于 2012-09-30 13:48:23
在我见过的几乎每个XSS缓解指南中,都提到了以下模式:
<img src="javascript:evil();">这可能有什么合法的用途?您能使用JS代码生成base64编码的表示吗?
回答 2
Stack Overflow用户
回答已采纳
发布于 2012-09-30 13:54:53
它没有太多的合法用途。
它的工作方式可能是因为您可以在那里使用任何协议,并且一些浏览器实现了javascript伪协议,可以从多个地方调用该协议。
Stack Overflow用户
发布于 2012-09-30 13:55:05
我不知道是否合法使用,但一些浏览器(通常是较老的浏览器)会执行JavaScript。See the OWASP XSS Filter Evasion Cheat Sheet。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/12658992
复制相关文章
相似问题
腾讯云开发者
