Возможно скрыть скрипт внутри изображения Base64

Question

Я знаю, что можно кодировать изображения в виде строк base64 и отображать эти изображения в формате html, но мне интересно, возможно ли это сделать с помощью необработанной строки base64.Источник моей строки base64 не является доверенным, поэтому мне интересно, возможно ли использовать его в качестве записи для атаки межсайтового скриптинга.

Answer 1

Я считаю, что в зависимости от ряда факторов это возможно.

Мне удалось найти один пример с использованием XSS в CSS:

div  {
    background-image: url("data:image/jpg;base64,<\/style><svg/onload=alert(document.domain)>");
    background-color: #cccccc;
}

Я уверен, что существуют и другие примеры, хотя все, очевидно, зависит от того, как / где вы используете эту строку Base64.

Тот факт, что вы используете любую входную строку из ненадежного источника, должен бытьбольше о вещи в вашем случае.