0
< img src = "data : xxxxx"> 사용자가 콘텐츠를 제공하는 보안 문제를 알고있는 사람이 있습니까? 내용이 검증되어 데이터 URI의 형식에 맞도록 태그가 빠져 나올 수 없으며 이미지 MIME 유형으로 제한되어 있다고 가정합니다.데이터 URI 스키마 및 img 태그를 사용하여 공격
http://en.wikipedia.org/wiki/Data_URI_scheme
A
답변
2
는 확실히 다른 코드 관련있다, 그러나 그것은 아마 정상 IMG 링크보다 더 공격 가능한 아니다.
1
저는 이것이 안전해야한다고 생각합니다. 이미지 데이터 URI 구문은 매우 엄격로 :
data:image/<subtype>;base64,<base64-stream>
는 (예를 RegEx to parse or validate Base64 data 참조)의 유효성을 검사하기 쉬운 것입니다.
내가 생각할 수있는 유일한 취약점은 이미지를 분석/렌더링하는 구성 요소 내에있는 것입니다.
관련 문제
- 1. 데이터 URI 및 그래프 비트
- 2. Android 데이터 삽입 및 URI
- 3. img 16 진 코드로 xss 공격
- 4. img 태그를 preg_replace 및 정규식으로 바꾸기
- 5. 데이터 무결성 공격
- 6. DataTable의 ReadXML 데이터 및 스키마
- 7. 핵심 데이터 태그 스키마?
- 8. HTTPS 및 MITM 공격
- 9. URI 매핑 및 URI 라우팅
- 10. Safari에서 Cisco Mobile로 전화를 걸기위한 URI 스키마
- 11. 이동에 <img> 태그를 사용하여 로컬 이미지 표시
- 12. 문자열의 모든 img 태그를 찾는 방법은 무엇입니까?
- 13. img 태그를 통한 외부 클릭 추적 링크
- 14. 추적 GA 데이터 URI
- 15. <img> 태그를 서버에 업로드 중
- 16. HTMLEditorExtender가 비동기 포스트 백에서 img 태그를 인코딩합니다.
- 17. .htaccess에서 RewriteBase를 사용하여 img 태그를 다시 쓰는 방법?
- 18. img 태그를 사용하여 신뢰할 수없는 SVG를로드 할 때의 XSS
- 19. PHP에서 HTML의 모든 텍스트 및 img 태그를 추출하십시오.
- 20. jQuery에서 동일한 src 및 rel을 갖는 img 태그를 얻으십시오.
- 21. IE에서 img 및 앵커 태그를 클릭 할 때 사각형 상자보기
- 22. jquery animate에 img 태그를 찾을 수 없습니다.
- 23. xmldocument 및 중첩 스키마
- 24. smurf 공격 C#을 사용하여
- 25. 당신이 편안하고 데이터 서비스에 대한 무력 공격
- 26. URI
- 27. CSS 스프라이트 대 데이터 URI
- 28. Perl을 사용하여 URI 관련 엔티티 디코딩
- 29. 회원 제품 데이터 스키마
- 30. tinymce : 제출시 <img> 태그를 바꿔달라고