Можно ли загрузить и запустить скрипт в sr c тега html img?

Question

Я создаю приложение (не для производства, своего рода экзамен), которое хранит изображения в хранилище Firebase, и я не знаю, как правильно защитить их с помощью правил безопасности, потому что Firebase не делает возможным чтение информации (разрешенные участники для доступа к ресурсу) из базы данных пожарного магазина.

Итак, я подумал, что является самой большой угрозой, позволяющей открывать изображения без правила безопасности. Это может быть спам с нежелательным изображением, кто-то другой может получить их. Эти изображения не очень ценные, поэтому не имеет значения, испортились ли они.

Но мне пришло в голову, что если кто-то изменит изображение на скрипт и клиент попытается загрузить его в тег html img, что может произойти?

Какие еще угрозы вы видите?

Answer 1

Вы не можете запустить код, вставив его в тег img. Это было бы огромной дырой в безопасности браузера (что в действительности было проблемой в каком-то браузере в далеком прошлом).

URL загрузки Firebase Storage всегда доступны всем, у кого есть URL. Правила безопасности не применяются. Единственный способ остановить это - отозвать свой токен в консоли Firebase, что заставляет URL перестать работать для всех.

Если вы хотите наложить некоторую защиту на URL, используемый для загрузки изображения, URL будет должен быть обработан некоторым внутренним кодом, который проверяет все разрешения перед отправкой содержимого изображения клиенту.