我有一个用户提交的新闻文章站点,我对一个功能的想法是抓取目标站点上的 favicon 以与链接一起显示。
获取 favicon 的方法是检查目标服务器上的 favicon.ico 文件。将该图标显示为图像会打开任何漏洞吗?会不会有某种恶意网站图标?将图像服务器端转换为不同的文件格式会消除风险吗?
问问题
2354 次
4 回答
6
几年前 Window 的 JPEG 解析器存在一个漏洞。将来可能会以其他格式发现漏洞,但我认为按原样显示它是非常安全的,如果威胁被公开,请在应用补丁时保持警惕。
但是,为了保护用户的隐私,您应该在服务器上缓存网站图标,并让用户的浏览器从那里获取它。另一方面,某些网站可能会认为您在您的网站上显示他们的网站图标侵犯了他们的知识产权。再说一次,在他们要求你停下来之前,我可能不会太担心。
于 2009-12-02T07:19:09.510 回答
2
隐私将是我的主要关注点,因为网站图标有时用于跟踪谁为页面添加了书签。至少这会破坏他们的数据,因为他们认为添加书签的人比实际更多。
当浏览器使用它们时,我认为现在大多数人采用的推荐行为是仅在您访问该站点时获取 favicon,然后在浏览器中缓存。当用户提交文章并缓存它时,我会通过获取图标来执行相同的服务器端(同时您可以借此机会验证链接是否有效,提取摘要等)。
于 2009-12-02T08:21:26.967 回答
0
作为其他答案的补充,您应该知道现在许多(大多数?)网站favicon.ico在其 Web 根目录中没有文件,但在 HTML 中有这样的标签head:
<link rel="shortcut icon" href="http://www.example.com/images/icon.png">
图标可以是其他格式而不是.ico.
于 2010-10-08T12:48:14.787 回答
0
包含您无法控制的内容总是存在一些风险。
例如,如果浏览器 x 中的图像渲染器存在缓冲区溢出漏洞,则托管源图像的站点的所有者可以将原始图标替换为恶意图标。然后,您的用户可能会在您不知情的情况下从您的网站被感染。
于 2009-12-02T12:05:46.287 回答