Я создаю Политику безопасности контента для своего сайта и могу загружать изображения.URL-адрес изображения охватывает различные домены и, возможно, в будущем будет больше, поэтому большая задача - поддерживать CSP в курсе подлинных доменов, поэтому, прежде чем попытаться решить эту проблему, я пытаюсь выяснить, каковы реальные рискиразрешить любое img через директиву img-src.Предполагая, что мы контролируем создание тега изображения, и, следовательно, единственный риск связан только с URL-адресом изображения, какие существуют риски?Из того, что я могу найти до сих пор, есть:
- с изображением в виде ссылки на маршрут на вашей странице, такой как выход из системы, который, я думаю, может вызвать проблему, но не является серьезным нарушением.
- PNG-бомба или аналогичная
- URL-адрес изображения с отслеживанием
Есть ли что-нибудь еще, более вредоносное, такое как xss?Я знаю очевидные методы, такие как javascript: в src теперь заблокированы современные браузеры.
Другими словами, есть причина, по которой img-src существует в csp, так каковы основные из них.Я знаю, что такие вещи, как script-src, более очевидны.
Спасибо.