使用javascript访问外部图像有什么安全风险?

时间:2011-08-11 12:28:50

标签: javascript cross-domain security

使用javascript无法将图像(托管在与javascript来源不同的域上)转换为画布。

这有什么安全风险?它不仅可以避免网络钓鱼,对吗?

2 个答案:

答案 0 :(得分:4)

Same origin policy阻止任何远程数据被其他域访问。这种停止的主要攻击之一是能够通过等待用户登录到另一个站点来绕过用户的登录,然后将他们的请求存储在他们经过身份验证的会话中。

无论加载的数据是HTML代码段,图像文件还是其他任何内容,它都会被阻止,因此您无法以任何方式利用它(例如,通过检查以这种方式检索的图像的像素数据)

答案 1 :(得分:0)

有一个棘手的攻击向量与外部图像连接:有人可以发布将从他们控制的外部资源加载的图像。一段时间后,可以更改此URL以返回基本http身份验证的请求。因此其他用户将看到Windows请求他们的登录名和密码。某些用户,尤其是没有经验的用户,可以输入将发送给攻击者的攻击资源的凭据。所以要小心外部资源。