Сценарии перекрестного сайта из Изображения
В моем случае, используя ответ @ n33kos, он работает с useEffect и до сих пор каждый раз (без проверки, добавил ли он скрипт или нет). Здесь ссылка <a> для интереса существует в файле уценки, который внедряется как HTML
useEffect(() => {
const script = document.createElement('script')
script.async = true
script.type = 'text/javascript'
script.dataset.pinBuild = 'doBuild'
script.src = '//assets.pinterest.com/js/pinit.js'
document.body.appendChild(script)
if (window.doBuild) window.doBuild()
}, []) // only run once
3 ответа
Другая вещь волноваться о состоит в том, что можно легко встроить код PHP в изображении и загрузке это большую часть времени. Единственной вещью, которую нападение должно было бы затем смочь сделать, является находка способ включать изображение. (Только код PHP будет выполнен, остальное просто отражено). Проверьте, что тип MIME не поможет Вам с этим, потому что взломщик может легко просто загрузить изображение с корректными первыми несколькими байтами, сопровождаемыми произвольным кодом PHP. (То же несколько верно для HTML-кода и кода JavaScript).
Если средство просмотра конца находится в защищенной паролем области, и Ваше приложение содержит URL, которые инициируют действия на основе, ПОЛУЧАЮТ запросы, можно выполнить запрос от имени пользователя.
Примеры:
- src = "http://yoursite.com/deleteuser.xxx?userid=1234"
- src = "http://yoursite.com/user/delete/1234"
- src = "http://yoursite.com/dosomethingdangerous"
В этом случае посмотрите на контекст вокруг этого: пользователи только предоставляют URL? В этом случае хорошо просто проверять семантику URL и тип MIME. Если пользователь также добирается для ввода каких-то тегов, необходимо будет удостовериться, что они не manipulatable, чтобы сделать что-либо другие затем изображения на дисплее.