使用IMG,SCRIPT或LINK标记加载JSON ::安全问题

时间:2017-09-30 04:25:45

标签: javascript jquery html json security

让我的网页包含< IMG SRC =" gmail.com/data.JSON"> (img,link或script tag)。

当您访问我的网页时,它会将您的电子邮件加载到我的网页中。

1。如何在javascript 中访问IMG,LINK或SCRIPT标记的内容(gmail.com/data.json)?

2。如果IMG加载了一个真实的图像,根据我的理解它可以复制到画布,我们可以将json文本复制到画布以便访问它吗?

免责声明:我几乎100.00%肯定它不会工作,我想知道为什么它不能工作(浏览器安全等)的每一个理由,为了这个缘故KNAWLEDGE

(gmail / json以&#34开头;而(1);"作为防止用SCRIPT标签加载它的保护,但它不需要任何CSRF令牌 - 也就是说。如此大规模实施太昂贵; facebook使用" for(;;;)"

非常感谢。

0 个答案:

没有答案