xss в коде картинки
 

Здравствуйте!

выполнится ли код записанный внутрь картинки(jpeg,gif или png) к примеру hex редактором при выводе картинки браузером.

например такой:

<script>alert(1)</script>

и если да, то как от этого можно защитится?
Вобще такое возможно и как с таким можно бороться с помощью js или php?

Если возможно то желательны ответы хотябы с небольшим объяснением.:)

С чего бы это браузеру выполнять какой-то код из картинок. Скажет, что битая картинка, и всё.

Kolyaj,
спасибо, за ответ.

Это хорошо, а то в проекте нужно сделать возможность загрузки аватар, а поломку не хочется допускать.:)

Мне кстати так и не удалось внедрить подобный код в ie7, однако меня смущает что вот здесь написано что внедрить можно.

В статье описывается открытие картинки в отдельном окне. В таком случае возможно и выполнение, особенно если с сервера не послан Content-Type. Но все равно такая картинка будет битой и достаточно проверять её на корректность, что и так делать надо, в случае загрузки аватарок.

Kolyaj,
еще раз спасибо за разъяснение, пойду создавать проверку на сервере.

а как проверить на корректность?

Впрочем поиск показал, что текст в картинку можно в exif запихнуть, но браузер его выполнять не будет.

Riim,
функцией getimagesize, например, в PHP.

Вот и не верно. это кстати оч распространенная атака XSS.