10,606
社区成员
发帖
与我相关
我的任务
分享【讨论】如果在图片src加载javascript
如题,今天作者突然想到浏览器的地址栏可以执行javascript函数,又想到一些邮件客户端一般不加载图片,那是不是有些病毒就通过加载图片来执行javascript函数启动和excel宏病毒一样的效果?比如发送ip地址,下载文件之类的,想想就有点可怕,但是为了验证我实验了一遍,但好像没效果?所以这种东西是可不可能的
...全文
请发表友善的回复…
发表回复
Eritque arcus 2020-02-12
- 打赏
- 举报
然而,发邮件的图片里面应该是不能有伪协议,写进去会被过滤,剔除
weixin_46312703 2020-02-11
- 打赏
- 举报
是的,有的浏览器(如IE)在图片地址上写js代码就会执行
<img src="javascript:alert(123);"/>
所以在用户输入图片地址时必须要在服务器端检测不能以javascript:开头。
<img src="javascript:alert(123);"/>
所以在用户输入图片地址时必须要在服务器端检测不能以javascript:开头。
Eritque arcus 2020-02-11
- 打赏
- 举报
普通js程序也一样能发啊。如果是涉及到跨域问题,一样要看设置。[/quote]主要是如果在邮件里面的图片的地址有的话,也挺隐蔽的
hookee 2020-02-11
- 打赏
- 举报
普通js程序也一样能发啊。如果是涉及到跨域问题,一样要看设置。
Eritque arcus 2020-02-07
- 打赏
- 举报
那也可以用网址参数发送cookie等东西吧?
hookee 2020-02-07
- 打赏
- 举报
即便能执行,权限也不会超过浏览器允许的范围,就跟单独执行脚本一样。
Eritque arcus 2020-02-06
- 打赏
- 举报
开始我用vs code写了一个,chrome不执行,是chrome自带防火墙吗[/quote]
chrome只是禁止了在图片src中使用javascript:这个伪协议而已[/quote]喔,那如果用一些东西是可以绕过吗?还是说从底层就禁止javascript这个协议了
天际的海浪 2020-02-06
- 打赏
- 举报
开始我用vs code写了一个,chrome不执行,是chrome自带防火墙吗[/quote]
chrome只是禁止了在图片src中使用javascript:这个伪协议而已
Eritque arcus 2020-02-06
- 打赏
- 举报
开始我用vs code写了一个,chrome不执行,是chrome自带防火墙吗
天际的海浪 2020-02-06
- 打赏
- 举报
是的,有的浏览器(如IE)在图片地址上写js代码就会执行
<img src="javascript:alert(123);"/>
所以在用户输入图片地址时必须要在服务器端检测不能以javascript:开头。
