1

我必须处理来自数据提供者的提要,在这个提要中,他们为我们提供图像 URL,目前我们下载它们并将它们存储在我们自己的媒体服务器中,但我想知道简单地获取 url 并输出它是否安全直接在 html 中作为 img 标签的 src 属性。

我主要担心的是,如果这使我们面临有人将文件放置在该 URL 下的可能性,这可能会运行恶意脚本/执行除渲染图像之外的其他操作(或者如果图像不存在/不存在则无法渲染图像,这很好)

img src 属性会仅渲染图像,还是将 URL 中指定的文件下载到用户的浏览器而不管它是什么?

我可以在导入阶段验证该 URL 至少看起来是一个有效的图像 URL,因此它只会有 .jpg 或其他任何扩展名,但显然这可能仍然允许他们重定向到其他内容。

4

1 回答 1

3

图片 URL 当然可以指向脚本(通过一些 URL 重写),但是从图片加载中运行脚本是没有风险的。URL 数据被视为二进制图像数据,而不是可运行的文本/脚本。

如果它是一个脚本,那么对于您的浏览器来说,它只不过是一个损坏的图像文件。因此,没有代码注入风险。至少这是我所知道的。

于 2013-06-13T14:49:42.983 回答