Chciałbym wiedzieć, czy możliwe jest wstrzyknięcie kodu javascript przez img-tag. Scenariusz polega na tym, że konfiguruje się stronę HTML taką jak ta. Domena innej domeny to moja domena. Czy jest możliwe przekierowanie wywołania /someimage.jpg do innego pliku zawierającego kod som javascript, który jest wykonywany, gdy obraz jest żądany?Wstrzykiwanie javascript thourgh <img> -tag
Odpowiedz
Przeglądarka nie powinien podjąć próbę wykonania kodu otrzymane poprzez <img>
znacznika jako JavaScript. Skrypt zostanie dostarczony do przeglądarki, ale w jego miejsce będzie zepsuty obraz, którego nie można wyświetlić.
Przeglądarki będzie wykonywał tylko skrypty odbierane w <script>
tag lub onclick,onmouseover,onmouseout,etc...
atrybuty jako podstawowej zasady bezpieczeństwa
, więc jedyną "zabawną" rzeczą, którą możesz zrobić, to przekierować ją na inny obraz? –
@MathiasBak Dość dużo - lub wyślij plik, który jest bardzo duży, jedząc przepustowość klienta (i serwera pochodzenia). –
Dziękuję za napiwek. –
nie, wszystkie główne przeglądarka nie akceptuje kodu javascript w tym momencie
nr Problem (jeśli chcesz to tak nazwać) jest to, że adres URL w pytaniu jest interpretowane jako dane obrazu , nie jako skrypt JS. Więc niezależnie od tego, co to jest i jak jest przekierowywany, nie zostanie ocenione jako JS.
Uwaga: <Znaczniki> działają między domenami, więc powinieneś po prostu z nich korzystać.
- 1. Wstrzykiwanie javascript do zombie.js
- 2. Określić rozmiar obrazu w JavaScript bez `<img>` tag
- 3. Tag HTML5 <audio> na Androidzie
- 4. Wiosna wiadomość tag JavaScript uciec
- 5. Utwórz tag SVG z JavaScript
- 6. jak ustawić krótki tag (<?) W php?
- 7. Miejsce pod <img> tag
- 8. jQuery przyrost wartość <span> tag
- 9. ui.bootstrap odkształca tag <progress> HTML
- 10. HTML tag <!-- --> Usunięto w CQ5
- 11. Jak utworzyć kropkowany tag <hr/>?
- 12. Parsowanie HTML <Tag> do ios
- 13. zamiennik linijki poziomej <hr> tag
- 14. Biblioteka animacji Sprite JavaScript na płótnie Tag
- 15. Ustaw charset tag meta z JavaScript
- 16. Aktywne lub ostrości Wpływ na HTML < Ul> tag
- 17. Python: Wstrzykiwanie treści HTML do tagu za pomocą `lxml.html`
- 18. Jak owinąć <noscript> tag do ukrycia zawartości kiedy JavaScript wyłączyć
- 19. Inline javascript z „<script>” string zamyka tag skryptu przez pomyłkę
- 20. Dodaj/append „<script>” tag html za pomocą JavaScript/jQuery
- 21. Co należy zastąpić <span> w <form> za pomocą? „W XHTML 1.1 tag <form> nie może zawierać tag <span>
- 22. Sposoby na hakowanie kodu JavaScript/wstrzykiwanie/manipulowanie są trudne?
- 23. Korzystanie ember.js identyfikatory pole tekstowe dla <label> tag tag
- 24. Wstrzykiwanie zależności od modelu szkieletowego js
- 25. <style> tag wewnątrz dowolnego elementu będzie nadal działać?
- 26. Korzystanie HTML <abbr> tag wyjaśnić treść
- 27. TinyMCE: Jak zapobiec <br> -TAG w elemencie listy
- 28. Wordpress <? Php the_post_thumbnail ('full'); ?> bez tagu img-tag
- 29. Dlaczego muszę komentować tag <script> w HTML?
- 30. SVG: Stosowanie maski do grupy ścieżek <g> tag
Nie wiem, dlaczego została wycofana. Jest to uzasadnione pytanie, a nie jedno, że odpowiedź można łatwo znaleźć w Internecie. –
To dobre pytanie, ponieważ IE ma historię posłuszeństwa typom zawartości wysyłanym przez serwery, bez względu na to, czym one są. Wygląda na to, że już tak nie jest, na szczęście. – mdenton8