Javascript-форум (https://javascript.ru/forum/)
-   Общие вопросы Javascript (https://javascript.ru/forum/misc/)
-   -   xss в коде картинки (https://javascript.ru/forum/misc/7335-xss-v-kode-kartinki.html)

slupi 27.01.2010 09:11

xss в коде картинки
 
Здравствуйте!

выполнится ли код записанный внутрь картинки(jpeg,gif или png) к примеру hex редактором при выводе картинки браузером.

например такой:
<script>alert(1)</script>


и если да, то как от этого можно защитится?
Вобще такое возможно и как с таким можно бороться с помощью js или php?

Если возможно то желательны ответы хотябы с небольшим объяснением.:)

Kolyaj 27.01.2010 09:33

С чего бы это браузеру выполнять какой-то код из картинок. Скажет, что битая картинка, и всё.

slupi 27.01.2010 09:56

Kolyaj,
спасибо, за ответ.

Это хорошо, а то в проекте нужно сделать возможность загрузки аватар, а поломку не хочется допускать.:)

slupi 27.01.2010 11:31

Мне кстати так и не удалось внедрить подобный код в ie7, однако меня смущает что вот здесь написано что внедрить можно.

Kolyaj 27.01.2010 11:35

В статье описывается открытие картинки в отдельном окне. В таком случае возможно и выполнение, особенно если с сервера не послан Content-Type. Но все равно такая картинка будет битой и достаточно проверять её на корректность, что и так делать надо, в случае загрузки аватарок.

slupi 27.01.2010 11:42

Kolyaj,
еще раз спасибо за разъяснение, пойду создавать проверку на сервере.

Riim 27.01.2010 13:02

Цитата:

Сообщение от Kolyaj
достаточно проверять её на корректность

а как проверить на корректность?

Kolyaj 27.01.2010 13:36

Впрочем поиск показал, что текст в картинку можно в exif запихнуть, но браузер его выполнять не будет.

Kolyaj 27.01.2010 13:52

Riim,
функцией getimagesize, например, в PHP.

PeaceCoder 27.01.2010 14:33

Цитата:

Сообщение от Kolyaj
С чего бы это браузеру выполнять какой-то код из картинок. Скажет, что битая картинка, и всё.

Цитата:

Сообщение от Kolyaj
В статье описывается открытие картинки в отдельном окне.

Вот и не верно. это кстати оч распространенная атака XSS.


Часовой пояс GMT +3, время: 03:49.