Html 转义图像url可以吗?
我已经(不是这样)不小心逃出了我的图像url有一段时间了,在任何浏览器中都没有看到任何问题 例如,改变这个:Html 转义图像url可以吗?,html,image,xss,Html,Image,Xss,我已经(不是这样)不小心逃出了我的图像url有一段时间了,在任何浏览器中都没有看到任何问题 例如,改变这个: <img src="http://example.com/image.jpg" /> <img src="http://example.com/image.jpg" /> 进入这个: <img src="http://example.com/image.jpg" /> <img sr
<img src="http://example.com/image.jpg" />
<img src="http://example.com/image.jpg" />
进入这个:
<img src="http://example.com/image.jpg" />
<img src="http://example.com/image.jpg" />
但我一直在想这是否会有问题。到目前为止,由于XSS担心图像URL来自何处,所以我将此保留下来,但我可以对它们进行正则表达式有效性检查,而不是逃避它们
现在它确实会使页面稍微变大
是否有人遇到过转义图像URL的问题?您在那里进行的“转义”完全是在XML/HTML级别上进行的,当XML/HTML解析器读取并理解文档时,转义就消失了——甚至在任何“URL性”发挥作用之前很久
所以,不,这不应该有任何问题,但可能也没有多少好处:)谢谢。。有道理。。我担心的是,如果没有逃逸图像url,可能会执行XSS攻击。例如,攻击者可以插入“/>