如果允许用户使用他们想要的任何src属性创建img标签,是否会损害网站的安全性?
可能造成什么样的伤害?
答案 0 :(得分:0)
允许src元素上的任意<img>值允许Cross-Site Scripting,从而在您的网页上执行任意JavaScript代码:
<img src="javascript:…">
它也可以用于伪造任意GET请求,类似于Cross-Site Request Forgery,但引荐来自您的网站。
答案 1 :(得分:0)
也可以通过使用网络错误http://en.wikipedia.org/wiki/Web_bug
来利用来跟踪您的网站访问者