image.src会有安全隐患吗？

Question

我有以下代码

var image = new Image();
image.src = "https://MyTrackingSite.com/?myTrackingParameter=whatever"

图像未添加到Dom-Tree。它是由命令“image.src”呈现的吗？这可能是安全隐患吗？

干杯

·阿尔

Answer 1

通常，上面的代码会preload the image。在这种特定情况下，它会强制浏览器向跟踪站点发出请求。

安全风险很低，除非：

1. 跟踪网站首先被黑客攻击或不是真实的。 The New York Times was once hit with something like this，所以这种情况很少见，但并非不可能。
2. 没有人拦截您的流量并替换原始服务器发送给您的图像（some agencies around the globe intercept traffic to YouTube and similar sites to hack computers）
3. 您没有运行最新版本的浏览器
4. 您没有安装适用于您的操作系统的最新安全补丁
5. 如果你运行Windows或Mac OS，你应该安装了病毒防护，你应该立即检查它是否仍然有效，正常工作和最新（软件及其病毒模式）。

大多数情况下，这只是一个隐私泄露，因为跟踪网站只返回一个网络错误（1x1透明图像）。代码的目标是让跟踪器知道你的位置。