html で img タグの src に javascript コードを書いてもいいか

html をよく知っている方からの質問がありました。

質問
img タグの src に javascript コードが書いているファイルを置いても特にセキュリティ上の問題はありますか?

<img src="http://www.domain.com/assets/js/test.js">

運用している CGM で画像の src 部分が自由に書き換えられるんですが、JS が実行できる分けではないのであればそのままでいいかなと思いました。

画像の src 部分が自由に書き換えられると、どういう脆弱性が考えられるのでしょうか?


回答
指摘の部分はブラウザによって処理されます。
ブラウザは img タグを画像データとして判別し、処理を行います。
ブラウザによって、ごく多少の差異はありますが、基本的には JPEG, GIF, PNG, BMP, TIFF, SVG といったタイプの画像データは正しく処理されます。
しかし、スクリプトは処理されません。

ブラウザのバグを突かない限り、そのようなスクリプトが処理されることはないです。

つまり、ハッキングの手法の中で、そういうスクリプトを動かすバグを見つけ、あえてそういう風に作り込むということはありえるかもしないです。こういったことをするのは悪いハッカーです。しかし、そういった理由もなく、そのような作りにするのは意味がないので良い作法とは言えないです。

画像をアップロードできる掲示板にスクリプトコードを載せるのを見かけたことがあります。
しかし、処理されることはなく、管理者から相手にされることもないです。

マナー的にも正しくないので、セキュリティソフトやブラウザが不正な html として判断されるようになるかもしれないですし、大事なサイトではやめておいた方が健全です。

参考URL
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10163382615

0 件のコメント:

コメントを投稿