我从朋友那里听说,WWW-Authenticate标题可以在远程服务器上的恶意php文件中明确定义,并使用图像mimetype,例如: image/jpeg或image/png。
假设情况
假设此文件为malicious.com/image.php,我将此图片添加到某个任意论坛上的论坛签名中。具体来说,gaiaonline.com。当另一位访问者访问其帖子上的帖子时,他们会看到WWW-Authenticate标题提供的登录提示。访问者/受害者输入用户名/密码后,黑客可以将其存储在远程服务器上,通过电子邮件发送给自己等等。
包含<img src="malicious.com/image.php" />标头的恶意代码:WWW-Authenticate。可以通过标准发布/ BBcode输入。
如何解决这个问题? 我认为此可以使用跨域访问。
答案 0 :(得分:2)
除非禁止任何外部图像(例如通过服务器代理它们以便用户永远不会点击真实的网址),否则无法“修复”。