Я сейчас использую data-uri sprites .Я мог бы потенциально закодировать предоставленный пользователем вредоносный скрипт вместо изображения.Однако я указываю тип данных: image / jpg.Но я слышал, что браузеры имеют тенденцию игнорировать тип и пытаться интерпретировать данные в максимально возможной степени.
Завершат ли браузеры выполнение вредоносного сценария?