我知道可以将图像编码为base64字符串并以html呈现这些图像,但是我想知道是否可以使用原始base64字符串来做到这一点。我的base64字符串的来源不受信任,因此我想知道是否有可能将此漏洞用作跨站点脚本攻击的入口。
答案 0 :(得分:2)
我相信,取决于多种因素,这可能是可能的。
我能够在CSS中使用XSS找到one example:
div {
background-image: url("data:image/jpg;base64,<\/style><svg/onload=alert(document.domain)>");
background-color: #cccccc;
}
我肯定也存在其他示例,尽管显然所有示例都取决于您使用Base64字符串的方式/位置。
您正在使用来自不受信任来源的任何输入字符串这一事实应该与您的情况有关。