2

是否有人知道在用户提供内容的地方使用 <img src="data:xxxxx"> 存在任何安全问题?假设内容已经过验证,因此它适合数据 URI 的格式,因此它不能脱离标签,并且也仅限于图像 mime 类型。

http://en.wikipedia.org/wiki/Data_URI_scheme

4

2 回答 2

2

肯定会涉及不同的代码,但它可能不会比普通的 img 链接更容易受到攻击。

于 2012-05-08T18:09:10.910 回答
1

我认为这应该是安全的。由于图像的数据 URI 语法非常严格:

data:image/<subtype>;base64,<base64-stream>

它很容易验证(参见例如RegEx 来解析或验证 Base64 数据)。

我能想到的唯一漏洞是解析/渲染图像的组件中的一个漏洞。

于 2012-05-08T18:40:54.077 回答