在HTML中嵌入第三方图像的安全问题

时间:2012-11-25 13:15:29

标签: html security

我试图找出从安全角度来看,从一个模糊的第三方网站嵌入图像的最坏情况,损坏或影响是什么。具体而言,第三方可以利用哪种技术访问权利?

例如,用户发布图片网址,然后将图片直接嵌入网站:

<img src="http://www.site-thats-not-mine.com/image.jpg">

我知道图像可能是恶意的,甚至不是真正的图像,但是由于这个原因他们可以做的最糟糕的事情是什么?这不是一种不常见的做法。

3 个答案:

答案 0 :(得分:2)

通常,它能做的最糟糕的事情就是跟踪最终用户。与图像请求一起发送的任何标头可用于将数据库保留在图像的最终用户上。它可以做的另一件坏事是更改 - 如果图像被删除或者服务器出现故障,它可能会导致您网站上的图像损坏;如果图像被其他内容替换,可能会导致类似的问题(甚至可能出现法律问题 - 例如,如果图像被恶意替换为欺骗您网站最终用户的意图)。

还有一些浏览器漏洞需要考虑,但这些并不是一般性问题。

答案 1 :(得分:1)

例如,图像文件可以通过特殊方式制作,以利用浏览器或图像库中的错误来破解访问者计算机。

其他可能出错的事情 - 远程站点关闭或图像消失。或者不是可爱的花卉图像,您的网站有一天会开始展示兽交p0rn ...最好是提供自己的内容:)

答案 2 :(得分:-2)

可能发生的最糟糕的事情是什么?

我会说:宇宙可能崩溃。 (虽然我不确定这是不是一件坏事......)

不,这是一种严肃但有些夸张的方式:因为不可能知道确实存在或可能开发的所有可能的漏洞利用,所以正式不可能限制错误使用的最坏结果。这样的问题无法得到认真回答。您可能想要重新考虑您的问题。