Czy istnieje groźba XSS podczas ładowania niezaufaną plik SVG za pomocą znacznika img?XSS podczas załadunku niezaufane SVG za pomocą znacznika img
Jak w: <img src="untrusted.svg"/>
Czytałem, że większość przeglądarek wyłączyć skrypty SVG ładowane poprzez znacznik img.
To używane do pracy w niektórych przeglądarkach, ale nie więcej. Istnieje jednak powiązany problem. Jeśli jestem nieświadomym użytkownikiem, kliknij prawym przyciskiem myszy i pobierz obraz, a następnie otwórz go lokalnie, najprawdopodobniej otworzy się w przeglądarce i skrypt zostanie uruchomiony. Co jest trochę dziwne, biorąc pod uwagę, że to obraz. Przypuszczam, że jeśli klikniesz prawym przyciskiem myszy i wybierzesz "wyświetl obraz", który może również uruchomić skrypt, ponieważ otworzysz go gwałtownie.
Masz rację, że skrypt może zostać uruchomiony, jeśli otworzysz plik lokalnie, ale w rzeczywistości nie może on za bardzo działać. Zasady dotyczące pochodzenia w JavaScript zapobiegają uzyskiwaniu dostępu do plików cookie lub innych poufnych informacji po ich lokalnym załadowaniu. – aecend
Tak, istnieje zagrożenie XSS zrobić przy użyciu SVG, większość przeglądarek nie pozwoli na uruchomienie skryptu, ale jeśli to jest wysyłane za pośrednictwem poczty elektronicznej może to potencjalnie działać.
Niektóre linki do kwestii:
Scalable Vector Graphics and XSS
Why does this XSS vector work in svg but not in HTML?
SVG Fun Time - Firefox SVG Vector + Bypassing Chrome XSS Auditor
wszystkich przeglądarek wyłączyć skrypty dla img tagów AFAIK, daj mi znać, jeśli znajdziesz taki, który nie robi "t. –