Diciamo che c'è un sito web example.com
. Ospita contenuto statico da un CDN, example.net
.
Questo sito consente il caricamento di un'immagine, che verrà poi pubblicata dal CDN. Queste immagini possono essere SVG e non vengono filtrate in alcun modo, quindi possono contenere contenuti HTML arbitrari (compresi i tag di script).
Considereresti questo un problema di sicurezza?
Da un lato, consente di eseguire codice se qualcuno accede all'immagine (ad esempio, facendo clic su di esso nel contesto di example.com
). Dall'altro, funziona solo sotto il dominio del CDN in modo da non poter rubare i cookie e così via. Tuttavia, potrebbe essere utilizzato per reindirizzare a un sito dannoso.
Un'altra nota: l'immagine viene pubblicata con Content-Security-Policy:default-src 'none';
, quindi il codice viene eseguito solo in IE.