是否有人知道在用户提供内容的地方使用 <img src="data:xxxxx"> 存在任何安全问题?假设内容已经过验证,因此它适合数据 URI 的格式,因此它不能脱离标签,并且也仅限于图像 mime 类型。
问问题
877 次
2 回答
2
肯定会涉及不同的代码,但它可能不会比普通的 img 链接更容易受到攻击。
于 2012-05-08T18:09:10.910 回答
1
我认为这应该是安全的。由于图像的数据 URI 语法非常严格:
data:image/<subtype>;base64,<base64-stream>
它很容易验证(参见例如RegEx 来解析或验证 Base64 数据)。
我能想到的唯一漏洞是解析/渲染图像的组件中的一个漏洞。
于 2012-05-08T18:40:54.077 回答