是跨域favicon的安全风险?
-
11-09-2019 - |
题
我有用户提交的新闻文章的网站,一个想法,我有一个特点是抓住目标位点上的链接,显示沿上的图标。
用于抓住将被检查所述目标服务器上的文件的favicon.ico的图标的方法。将显示该图标,图像打开任何一洞?难道还有某种恶意图标吗?将图像服务器侧变换到不同的文件格式否定风险?
解决方案
有在窗口的JPEG解析漏洞几年前。这是可能的漏洞可能会在未来的其他格式被发现,但我认为你是非常安全的,它显示为-是,和如果威胁公示应用补丁警惕。
不过,为了保护用户的隐私,你应该在你的服务器缓存的图标,让用户的浏览器从中获取它。在另一方面,有些网站可能会觉得你已经通过的您的网站上显示的及其的图标侵犯了自己的知识产权。同样,我可能不会,直到他们要求你停止担心太多。
其他提示
隐私将是真正的网站图标有时用于跟踪谁某个网页加入书签我的主要关注点。至少,它会搞砸自己的数据,因为他们会觉得更多的人是书签他们不是真的。
在浏览器中使用它们的推荐行为,我认为是现在大部分采用的是当您访问在浏览器的网站,然后缓存只取图标。当用户提交的文章中,我将通过获取的图标做同样的服务器端和缓存它(并在同一时间,你可以借此机会来验证链接是否有效,提取的总结,等等)。
有永远的一些的风险,包括在你无法控制的内容。
例如,如果在浏览器x中的图像渲染器是从一个缓冲区溢出漏洞,则承载源图像可以换出原始图标恶意一个网站的所有者遭受。用户随后可以从您的网站感染而不让你知道。
作为addittion到其他的答案,你应该知道,许多(大多数?)的网站,这些天没有在他们的Web根文件favicon.ico
,但在HTML head
这样的标签:
<link rel="shortcut icon" href="http://www.example.com/images/icon.png">
其中的图标可以是其他格式比.ico
。
不隶属于 StackOverflow