【网络安全】URL解析器混淆绕过CSP实现XSS
未经许可,不得转载。
文章目录
-
- 前言
- 正文
前言
许多流行的静态网站生成器都存在图像 CDN 功能,它们通过优化网站中的图像来加快页面加载速度。例如:
1、Optimizing Images | Next.js
利用内置的 next/image 组件优化图像(nextjs.org)
2、Nuxt Image: Nuxt 应用的图像优化
即插即用的图像优化功能,使用内置优化器对图像进行调整(image.nuxt.com)
这些工具的目标都是通过将图像对应的 URL 作为输入(通常通过参数或路径),优化图像以减少加载时间。
例如:
/next/image?url=
/gatsby/image/:url
/.netlify/image?url=
/ipx/w_200/:url
这些端点通常会进行一些安全检查,比如限制我们可以请求的 URL,或者验证请求的内容类型是否为合法图像(例如 image/svg+xml,否则可能会引发 XSS)。有时,它们还会检查返回的响应缓冲区,以确保