Существует ли угроза XSS при загрузке ненадежного SVG файла с помощью тега img?
Как в: <img src="untrusted.svg"/>
Я читал, что большинство браузеров отключает скрипты в svg файлах, загружаемых с помощью тега img.
XSS при загрузке ненадежного SVG с использованием тега img
Ответ 1
Это работало в некоторых браузерах, но не больше. Однако есть связанная с этим проблема. Если я как незнакомый пользователь, щелкните правой кнопкой мыши и загрузите изображение, а затем откройте его локально, он, скорее всего, откроется в браузере и запустится script. Это немного странно, учитывая, что это образ. Я полагаю, что если вы щелкнете правой кнопкой мыши и выберите "view image", что также может привести к запуску script, потому что вы открываете его прямо.
Ответ 2
Да, угрозы XSS существуют при использовании SVG, большинство браузеров не разрешают запуск script, но если он отправляется по электронной почте, это может потенциально запустить.
Некоторые ссылки на вопросы:
Масштабируемая векторная графика и XSS
Почему этот вектор XSS работает в svg, но не в HTML?
Время загрузки SVG - Firefox SVG Vector + обход аудитора Chrome XSS