Это как? Или ты правда веришь в то, что скрипт подключенный через <img src="..."> выполнится?вместо картинки - будет подгружаться скрипт
Право же - нет Наверняка Вы слышали про XSS Так вот вы даете ссылку на картинку, которую собственно выдает скрипт php-й. А в один прекрасный момент вместо картинки возвращается javascript-код(это конечно если картинки каждый раз загружаются с удаленного ресурса - но я об этом упоминал). Большого вреда не принесет Сервер завалит, может бытьАвтор оригинала: phprus
Или ты правда веришь в то, что скрипт подключенный через <img src="..."> выполнится?
А теперь представьте - у Вас на форуме некий посетитель сделал 250 сообщений. У каждого из этих сообщений - аватар. Затем вместо рисунка на сервер загружается яваскрипт. Например, просто выполняющий бесконечный цикл. И у всех посетителей форума будет вываливаться сообщение - "на странице скрипт, тормозящий систему!" - это ли не прелесть А если еще на каждой итерации создавать глобальный массив по 1000 элементов - то памяти на много не хватит. Это конечно, на сервер особенно не повлияет - но работу форума остановит. Но ведь есть у javascript и другие возможности...Автор оригинала: bkonst
Ок. Представим себе ситуацию: есть ссылка на картинку, например
<img src="http://evil.hacker.com/picture.gif">. Демонстрацию XSS, основанного на выдаче Javascriptа вместо картинки, можно?
Ладно распишу подробно:bkonst
Повторяю вопрос: с какой радости браузер будет выполнять Javascript, который ему передали вместо picture.gif?
Никак, пробовал? Особенно "URL типа java script".Но ладно спустя определенное время сервер выдает 301 moved c location на какую-то страницу использующую дырки или с URL типа ”java script:alert(document.cooke)”.
Ты сам-то её прочитал?Нашел статью на security lab-е.