数据URI

数据URI

关注
发信
关注(28)粉丝(399)

javascript - <img>的XSS上的数据URI是否可利用?

阅读本文后,我没有明确的答案:

http://palizine.plynt.com/issues/2010Oct/bypass-xss-filters/

  • 浏览器会将<img> src中的text / html数据URI有效内容解释为执行<script>标签的文档吗?
  • 如果不是,那么允许第三方HTML中的数据URI安全吗?
  • 此用例在浏览器级别存在哪些安全机制?

    • 最佳答案

    MSDN documentation说IE不:



    另一方面,Mozilla确实允许iframescript执行:



    SafariChromium沙箱数据URI执行,有效地将它们视为跨域请求。



    HTML5规范指出:



    RFC6454添加:



    CSSHTTPRequest library使用数据URI进行跨站点GET请求,但这是它在所有浏览器中可以执行的最大操作。

    引用

  • HTML Living Standard: Origin
  • RFC 6454: The Web Origin Concept

    • 07-25 23:42
    Powered by LMLPHP ©2024 数据URI 0.024552