Có phải mối đe dọa XSS tồn tại khi tải một tệp SVG không đáng tin cậy bằng cách sử dụng thẻ img không?XSS khi tải không tin cậy SVG bằng cách sử dụng thẻ img
Như trong: <img src="untrusted.svg"/>
Tôi đã đọc hầu hết các trình duyệt vô hiệu hóa các kịch bản trong các tập tin svg nạp qua thẻ img.
Điều này được sử dụng để hoạt động trong một số trình duyệt, nhưng không hoạt động nữa. Tuy nhiên có một vấn đề liên quan. Nếu tôi là người dùng không biết, hãy nhấp chuột phải và tải xuống hình ảnh, sau đó mở nó cục bộ, nó có thể sẽ mở trong trình duyệt và tập lệnh sẽ chạy. Đó là một chút kỳ lạ xem xét đó là một hình ảnh. Tôi cho rằng nếu bạn nhấp chuột phải và chọn "xem hình ảnh" cũng có thể khiến tập lệnh chạy, vì bạn mở nó một cách thẳng thắn.
Bạn nói đúng về tập lệnh có thể chạy nếu bạn mở tệp cục bộ nhưng thực sự không thể thực hiện được nhiều trong môi trường đó. Chính sách nguồn gốc của JavaScript ngăn không cho nó truy cập vào bất kỳ cookie hoặc thông tin nhạy cảm nào khác khi nó được tải cục bộ. – aecend
Có, các mối đe dọa XSS tồn tại khi sử dụng SVG, hầu hết các trình duyệt sẽ không cho phép chạy tập lệnh, nhưng nếu nó được gửi qua email thì nó có khả năng chạy.
Một số liên kết đến các vấn đề:
Scalable Vector Graphics and XSS
Why does this XSS vector work in svg but not in HTML?
SVG Fun Time - Firefox SVG Vector + Bypassing Chrome XSS Auditor
Tất cả các trình duyệt vô hiệu hóa các kịch bản cho img thẻ AFAIK, cho tôi biết nếu bạn tìm thấy một điều đó không 't. –