È possibile eseguire javascript se un sito .php si trova nell'attributo src di un tag img? [duplicare]

-2

Un'immagine può essere visualizzata tramite un'origine .php se la fonte ha un'intestazione corretta (come per la risposta a questa domanda).

Se un sito web consente something.php come origine dell'immagine e visualizza l'immagine (come descritto sopra), è possibile includere un tipo di javascript in something.php che verrà eseguito anche quando il sito di hosting recupera l'immagine? (Sembra che potrebbe aprire le cose a un possibile XSS)

    
posta AmagicalFishy 30.01.2018 - 23:00
fonte

1 risposta

0

Per rispondere alla domanda, no, non è possibile.

Supponiamo che l'immagine provenga come nell'esempio seguente.

<img src="http://somesite.com/something.php">

Se something.php non viene visualizzato come immagine, il browser visualizzerà [X] o non visualizzerà l'immagine non valida / corrotta.

Se passi qualche javascript all'interno di something.php non avrà alcun effetto.

    
risposta data 30.01.2018 - 23:07
fonte

Leggi altre domande sui tag