Загрузка исполняемого кода через <img> или <a> теги?
Java Время выполнения объект может сообщить об использовании памяти JVM. Для потребления ресурсов ЦП необходимо будет использовать внешнюю утилиту, как главный или Windows Process Manager Unix.
7 ответов
Можно создать изображение, которое также является допустимым файлом javascript, и заставить браузер выполнить его. См. http://www.thinkfu.com/blog/?p=15
Изображения SVG (изображение типа mime / svg + xml) могут содержать javascript. См. http://www.w3.org/TR/SVG/interact.html
You должны постоянно дезинфицироваться, теги img уязвимы для межсайтового скриптинга
Вы хотели бы прочитать о XSS (межсайтовый скриптинг) и XSRF (подделка межсайтовых запросов)
РЕДАКТИРОВАТЬ : Как указывает Райгай , вы можете практически скопировать и вставить любой из примеров из Шпаргалки по XSS (межсайтовому скриптингу) и найти лучший способ предотвратить их соответственно. 1120076]
Кроме того, в новых браузерах можно вставлять целые изображения в URL-адреса, используя встроенные данные . Возможно, через него можно что-то внедрить, однако для этого потребуется зияющая дыра в безопасности на стороне браузера, и я не знаю, как очистить что-то подобное.
Может быть, вы просто хотите ограничить доступ к определенным доменам или проверить, изображение существует физически? Это уже может сильно помочь.
CSRF :
<img src="http://example.org/accounts/123/delete" />
In addition to the great answers so far, the xss cheat sheet doesn't really account for event attributes like onmouseover onhover etc. These are all, by design, to allow someone to run some javascript when something happens.