XSS при загрузке ненадежного SVG с использованием тега img

Существует ли угроза XSS при загрузке ненадежного SVG файла с помощью тега img?

Как в: <img src="untrusted.svg"/>

Я читал, что большинство браузеров отключает скрипты в svg файлах, загружаемых с помощью тега img.

Ответ 1

Это работало в некоторых браузерах, но не больше. Однако есть связанная с этим проблема. Если я как незнакомый пользователь, щелкните правой кнопкой мыши и загрузите изображение, а затем откройте его локально, он, скорее всего, откроется в браузере и запустится script. Это немного странно, учитывая, что это образ. Я полагаю, что если вы щелкнете правой кнопкой мыши и выберите "view image", что также может привести к запуску script, потому что вы открываете его прямо.

Ответ 2

Да, угрозы XSS существуют при использовании SVG, большинство браузеров не разрешают запуск script, но если он отправляется по электронной почте, это может потенциально запустить.

Некоторые ссылки на вопросы:

Масштабируемая векторная графика и XSS

Почему этот вектор XSS работает в svg, но не в HTML?

Время загрузки SVG - Firefox SVG Vector + обход аудитора Chrome XSS

PDF О опасном SVG