क्या img टैग का उपयोग करके अविश्वसनीय एसवीजी फ़ाइल लोड करते समय एक्सएसएस का खतरा मौजूद है?एक्सएसएसएसएस का उपयोग करते हुए अविश्वसनीय एसवीजी लोड करते समय एक्सएसएस
के रूप में: <img src="untrusted.svg"/>
मैं पढ़ा है कि अधिकांश ब्राउज़र img टैग के माध्यम से भरी हुई svg फ़ाइलों में स्क्रिप्ट को अक्षम करें।
यह कुछ ब्राउज़रों में काम करता था, लेकिन अब नहीं। हालांकि एक संबंधित मुद्दा है। यदि मैं एक अज्ञात उपयोगकर्ता के रूप में, छवि पर राइट क्लिक करें और डाउनलोड करें, और फिर इसे स्थानीय रूप से खोलें, तो यह संभवतः ब्राउज़र में खुल जाएगा और स्क्रिप्ट चल जाएगी। यह एक छवि है जो थोड़ा अजीब है। मुझे लगता है कि यदि आप राइट क्लिक करते हैं और "छवि देखें" का चयन करते हैं जो स्क्रिप्ट को चलाने का कारण बन सकता है, क्योंकि आप इसे गंभीर रूप से खोलते हैं।
यदि आप स्थानीय रूप से फ़ाइल खोलते हैं, तो आप स्क्रिप्ट के बारे में सही हैं, लेकिन यह वास्तव में उस वातावरण में बहुत कुछ नहीं कर सकता है। जावास्क्रिप्ट की एक ही मूल नीति इसे स्थानीय रूप से लोड होने के बाद किसी भी कुकीज़ या अन्य संवेदनशील जानकारी तक पहुंचने से रोकती है। – aecend
हां, एसवीजी का उपयोग करते समय एक्सएसएस खतरे मौजूद हैं, अधिकांश ब्राउज़र स्क्रिप्ट को चलाने की अनुमति नहीं देंगे, लेकिन अगर इसे ईमेल के माध्यम से भेजा जाता है तो यह संभावित रूप से चल सकता है।
मुद्दों के लिए कुछ लिंक:
Scalable Vector Graphics and XSS
Why does this XSS vector work in svg but not in HTML?
SVG Fun Time - Firefox SVG Vector + Bypassing Chrome XSS Auditor
सभी ब्राउज़रों img टैग AFAIK के लिए स्क्रिप्ट अक्षम करें, आप एक है कि नहीं करता है लगता है मुझे पता है 'टी। –