Действительно ли междоменные favicons являются угрозой безопасности?
Я думаю, что можно использовать Массив. Копия для этого. Это берет исходный индекс и целевой индекс, таким образом, необходимо быть в состоянии добавить один массив к другому. Если необходимо пойти более сложные, чем просто добавление одного к другому, это не может быть правильным инструментом для Вас.
3 ответа
Несколько лет назад в парсере JPEG в Window обнаружилась уязвимость. Возможно, что в будущем уязвимости могут быть обнаружены в других форматах, но я думаю, что вы можете довольно безопасно отображать их как есть и проявлять бдительность при применении исправлений, если угроза станет известна.
Однако для защиты конфиденциальности ваших пользователей, вы должны кэшировать значок на своем сервере и позволить браузерам пользователей получать его оттуда. С другой стороны, некоторые сайты могут посчитать, что вы нарушили их интеллектуальную собственность, разместив их значок на вашем сайте. Опять же, я бы, вероятно, не стал слишком беспокоиться об этом, пока они не попросили вас остановиться.
Всегда существует некоторый риск при включении содержимого, которое вы не можете контролировать.
Например, если изображение рендерер в браузере x должен был страдать от уязвимости, связанной с переполнением буфера, тогда владелец сайта, на котором размещено исходное изображение, мог заменить исходный значок на вредоносный. Тогда ваши пользователи могут быть заражены с вашего сайта без вашего ведома.
Конфиденциальность была бы моей главной заботой, поскольку значки иногда используются для отслеживания того, кто закладывает страницу. По крайней мере, это испортит их данные, поскольку они будут думать, что больше людей добавляют их в закладки, чем есть на самом деле.
Когда браузеры используют их, рекомендуемое поведение, которое, как я думаю, сейчас принято большинством, - это выборка значка только тогда, когда вы посетите сайт, а затем кешируйте в браузере. Я бы сделал то же самое на стороне сервера, получив значок, когда пользователь отправляет статью, и кэшировал ее (и в то же время вы можете воспользоваться возможностью проверить действительность ссылки, извлечь резюме и т. Д.).