内容安全性Img-src

时间:2018-12-05 13:57:07

标签: image scripting xss

我正在为我的网站建立内容安全政策,并且能够上传图片。图片网址涵盖了各个领域,并且将来可能还会涉及更多领域,因此,使CSP与真正的领域保持最新是一项艰巨的工作,因此在尝试解决此问题之前,我试图确定实际的风险是什么。通过img-src指令允许任何img。假设我们控制图片标签的创建,因此唯一的风险仅来自图片网址,那有什么风险?到目前为止,我可以找到:

  • 在图像src中有一个指向页面上的路由的链接,例如注销,我想这可能会引起问题,但不会造成严重的破坏。
  • PNG炸弹或类似炸弹
  • 具有跟踪功能的图片网址

还有其他恶意软件,例如xss吗?我知道明显的方法,例如javascript:src中的方法现在已被现代浏览器阻止。

换句话说,在csp中存在img-src是有原因的,主要的原因是什么。我知道像script-src这样的事情会更明显。

谢谢。

0 个答案:

没有答案