Каков риск безопасности доступа javascript к внешнему изображению?

Question

Используя javascript, невозможно преобразовать изображение (размещенное в другом домене, отличном от того, из которого создается javascript) в холст.

Каков риск безопасности с этим? Нельзя просто избежать фишинга, верно?

Answer 1

Такая же политика происхождения останавливает любые удаленные данные от доступа к другому домену.Одной из основных атак, которые он останавливает, является возможность обойти логин пользователя, подождав, пока он войдет в другой сайт, и затем выполнить ответ на ваш запрос в их аутентифицированном сеансе.

Являются ли загруженные данныеФрагмент HTML, файл изображения или что-либо еще, он заблокирован, поэтому вы не можете использовать его каким-либо образом (например, проверяя пиксельные данные изображения, полученного таким образом)

Answer 2

Существует один хитрый вектор атаки, связанный с внешними изображениями: кто-то может опубликовать изображение, которое будет загружено из внешнего ресурса, которым он управляет. Через некоторое время этот URL-адрес можно изменить, чтобы он возвращал запрос на базовую http-аутентификацию. Таким образом, другие пользователи увидят окна, запрашивающие их логин и пароль. Некоторые пользователи, особенно неопытные, могут ввести учетные данные атакующих ресурсов, которые будут отправлены злоумышленнику. Так что будьте осторожны с внешними ресурсами.