使用img标记加载不受信任的SVG文件时,是否存在XSS威胁?
如:<img src="untrusted.svg"/>
我读过大多数浏览器会禁用通过img标记加载的svg文件中的脚本。
答案 0 :(得分:5)
这曾经在某些浏览器中运行,但现在不再适用。但是有一个相关的问题。如果我作为一个不知情的用户,右键单击并下载图像,然后在本地打开它,它可能会在浏览器中打开并运行脚本。考虑到它是一个图像,这有点奇怪。我想如果你右键单击并选择“查看图像”,这也可能导致脚本运行,因为你可以直接打开它。
答案 1 :(得分:3)
是的,使用SVG时确实存在XSS威胁,大多数浏览器都不允许脚本运行,但如果通过电子邮件发送,则可能会运行。
问题的一些链接:
Scalable Vector Graphics and XSS
Why does this XSS vector work in svg but not in HTML?
SVG Fun Time - Firefox SVG Vector + Bypassing Chrome XSS Auditor