Chciałbym wiedzieć, czy możliwe jest wstrzyknięcie kodu javascript przez img-tag. Scenariusz polega na tym, że konfiguruje się stronę HTML taką jak ta. Domena innej domeny to moja domena. Czy jest możliwe przekierowanie wywołania /someimage.jpg do innego pliku zawierającego kod som javascript, który jest wykonywany, gdy obraz jest żądany?Wstrzykiwanie javascript thourgh <img> -tag
Przeglądarka nie powinien podjąć próbę wykonania kodu otrzymane poprzez <img> znacznika jako JavaScript. Skrypt zostanie dostarczony do przeglądarki, ale w jego miejsce będzie zepsuty obraz, którego nie można wyświetlić.
Przeglądarki będzie wykonywał tylko skrypty odbierane w <script> tag lub onclick,onmouseover,onmouseout,etc... atrybuty jako podstawowej zasady bezpieczeństwa
, więc jedyną "zabawną" rzeczą, którą możesz zrobić, to przekierować ją na inny obraz? –
@MathiasBak Dość dużo - lub wyślij plik, który jest bardzo duży, jedząc przepustowość klienta (i serwera pochodzenia). –
Dziękuję za napiwek. –
nie, wszystkie główne przeglądarka nie akceptuje kodu javascript w tym momencie
nr Problem (jeśli chcesz to tak nazwać) jest to, że adres URL w pytaniu jest interpretowane jako dane obrazu , nie jako skrypt JS. Więc niezależnie od tego, co to jest i jak jest przekierowywany, nie zostanie ocenione jako JS.
Uwaga: <Znaczniki> działają między domenami, więc powinieneś po prostu z nich korzystać.
Nie wiem, dlaczego została wycofana. Jest to uzasadnione pytanie, a nie jedno, że odpowiedź można łatwo znaleźć w Internecie. –
To dobre pytanie, ponieważ IE ma historię posłuszeństwa typom zawartości wysyłanym przez serwery, bez względu na to, czym one są. Wygląda na to, że już tak nie jest, na szczęście. – mdenton8