image xss 1.图片发生xss攻击的条件、原因及对策

本文探讨了在IE6、IE7中,由于浏览器内容类型判断机制,导致图片(如bmp、png)可能引发的XSS攻击。当图片的magic bite与content_type不一致时,攻击尤为严重。对策包括禁止上传bmp图片,确保gif、jpeg、png的实际类型、后缀名和content_type一致,以及考虑用户是否已安装MS07-057补丁来防止PNG图片的XSS风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

发生image xss的条件

  ・ IE6、IE7

   ・图片的magic bite和content_type不一致   (解释①图片magic bite)

发生image xss的原因

  Ie在进行content种别判断时,不单考虑content_type,还根据content的内容进行判断。 (解释Content种别判断)

  下表是IE content种别判断和图片magic bite、content_tpe之间的关系表 



通过上表能明白以下三点:

①magic bite和content_type不一致的图片有可能发生xss攻击。

②对于bmp图片,不管magic bite和content_type是否一致,都有可能发生xss攻击。

③对于png图片,即使magic bite和content_type一致,如果没有安装MS07-057补丁,也有可能发生xss攻击。


对策

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值