Ultimamente ho cercato le icone dei materiali da questo sito .
Ho iniziato a notare che non hanno piani gratuiti in quanto tali, quindi è necessario acquistare le icone se si desidera scaricarle. Ma comunque sono preoccupato per l'anteprima. Ho solo dovuto ispezionare l'elemento nel browser e ho scoperto che c'era uno stile aggiunto dinamicamente ad un elemento div con la seguente proprietà background-image:
https://d30y9cdsu7xlg0.cloudfront.net/noun-svg/505415.svg?Expires=1492526661&Signature=EctcroYLIkJ1lZhiuXcA2uxrKW2zsC3ycNlPajZuLJw62r9ADMRJkpm8chNYDc0hssTXASy2FdYUL~A9vd8bXE2Sil-Xp2A19WZjcI6nurxp3MUrEgzvhC4ssUmT6~CmHs8UwmMX1MVkYM~TydUOaTuzOnCOqaMTRp~9wBE5iGQ_&Key-Pair-Id=APKAI5ZVHAXN65CHVU2Q
Wow! Ho ricevuto l'URL che mi porta all'icona SVG! Quindi Salva come > Scarica > icon.svg.
Il link sopra potrebbe essere aggiornato in seguito, come puoi vedere parametri come Expires
, Signature, 1
, pair-Id
e roba. Quindi dovrai ispezionarti.
Dal momento che questa non può essere definita una vulnerabilità, sono un po 'titubante nel chiedere come tali siti possano visualizzare un'anteprima senza consentire alle frodi di rubare il loro contenuto.
Ci dovrebbe essere un modo giusto? È impossibile?