我正在为我的网站建立内容安全政策,并且能够上传图片。图片网址涵盖了各个领域,并且将来可能还会涉及更多领域,因此,使CSP与真正的领域保持最新是一项艰巨的工作,因此在尝试解决此问题之前,我试图确定实际的风险是什么。通过img-src指令允许任何img。假设我们控制图片标签的创建,因此唯一的风险仅来自图片网址,那有什么风险?到目前为止,我可以找到:
还有其他恶意软件,例如xss吗?我知道明显的方法,例如javascript:src中的方法现在已被现代浏览器阻止。
换句话说,在csp中存在img-src是有原因的,主要的原因是什么。我知道像script-src这样的事情会更明显。
谢谢。