2 个内容
本文探讨了 SVG 文件可能存在的 XSS 安全风险。在 `<img>` 和 `background-image` 中 SVG 作为图像渲染是安全的。但内联 SVG、通过 `object/iframe/embed` 引入 SVG、服务器 MIME 类型配置错误,以及 SVG 内部使用 `javascript:` 链接或事件属性都可能导致 XSS 漏洞。
本文介绍了Content-Security-Policy(CSP)用于限制资源加载来源,防御XSS。同时,针对CSRF攻击,提出了使用CSRF Token、双重Cookie验证、SameSite属性设置、白名单和验证码等多种防御方案。此外,还简要提及了中间人攻击及其防御措施,包括HTTPS和HSTS。