2011-10-27 10 views
10

¿Existe la amenaza de XSS al cargar un archivo SVG que no es de confianza con la etiqueta img?XSS al cargar SVG que no es de confianza mediante la etiqueta img

Como en: <img src="untrusted.svg"/>

He leído que la mayoría de los navegadores desactivar los scripts en archivos SVG cargados a través de la etiqueta img.

+6

todos los navegadores desactivar los scripts de etiquetas img yo sepa, hágamelo saber si usted encuentra uno que doesn 't. –

Respuesta

5

Esto solía funcionar en algunos navegadores, pero ya no. Sin embargo, hay un problema relacionado. Si yo, como usuario desconocido, hago clic derecho y descargo la imagen, y luego la abro localmente, es probable que se abra en el navegador y se ejecutará el script. Lo cual es un poco extraño considerando que es una imagen. Supongo que si haces clic derecho y seleccionas "ver imagen", eso también podría hacer que se ejecute el script, porque lo abres directamente.

+2

Tiene razón acerca de la secuencia de comandos que se puede ejecutar si abre el archivo localmente, pero realmente no puede hacer mucho en ese entorno. La misma política de origen de JavaScript le impide acceder a cookies u otra información sensible una vez que se carga localmente. – aecend

Cuestiones relacionadas