某些旧版浏览器容易受到XSS攻击
<img src="javascript:alert('yo')" />
当前版本的IE,FF,Chrome不是。
我很好奇任何浏览器是否容易受到类似的攻击:
<img src="somefile.js" />
或
<iframe src="somefile.js" />
或其他类似的somefile.js包含一些恶意脚本。
答案 0 :(得分:40)
所有主流浏览器仍然容易受到这些攻击。 大量使用img标签的方法仍然存在。 例如......
<img src='#' onerror=alert(1) />
查找RSnake的xss cheatsheet,这些只是一些向量。顺便说一下,我听说他很快就会拿出一个新版的cheatsheet。
答案 1 :(得分:6)
没有。图像数据永远不会作为JavaScript执行。如果src是JavaScript链接,则执行JavaScript,但是对src的请求产生的数据的基本读取不涉及JavaScript。
答案 2 :(得分:1)
在这里你可以找到一些XSS攻击向量 http://ha.ckers.org/xss.html