什么';让javascript访问外部图像的安全风险是什么?
使用javascript无法将图像(托管在与javascript所属域不同的域上)转换为画布 这有什么安全风险?这不仅仅是为了避免网络钓鱼,对吗?阻止任何远程数据被其他域访问。此站点阻止的主要攻击之一是,通过等待用户登录到另一个站点,从而绕过用户的登录,然后在经过身份验证的会话中利用您的请求什么';让javascript访问外部图像的安全风险是什么?,javascript,cross-domain,security,Javascript,Cross Domain,Security,使用javascript无法将图像(托管在与javascript所属域不同的域上)转换为画布 这有什么安全风险?这不仅仅是为了避免网络钓鱼,对吗?阻止任何远程数据被其他域访问。此站点阻止的主要攻击之一是,通过等待用户登录到另一个站点,从而绕过用户的登录,然后在经过身份验证的会话中利用您的请求 加载的数据是否是HTML片段、图像文件或其他任何东西,它被阻塞,因此不能以任何方式利用(例如,通过检查这样检索的图像的像素数据)< P>有一个与外部图像连接的棘手的攻击向量:有人可以发布从外部资源加载的图像
加载的数据是否是HTML片段、图像文件或其他任何东西,它被阻塞,因此不能以任何方式利用(例如,通过检查这样检索的图像的像素数据)
< P>有一个与外部图像连接的棘手的攻击向量:有人可以发布从外部资源加载的图像,这是他们控制的。一段时间后,可以更改此url以返回基本http身份验证请求。因此,其他用户将看到windows请求他们的登录名和密码。一些用户,尤其是没有经验的用户,可以输入将发送给攻击者的攻击资源的凭据。因此,使用外部资源时要小心。我希望有一种方法让网站所有者能够区分哪些图片是私有的,哪些不是私有的。我知道crossdomain.xml,但即使是Google的徽标图像也没有公开共享。@r0u1i-Read-如果远程服务器返回与本地文档主机匹配的“Access Control Allow Origin