让 javascript 访问外部图像有什么安全风险？

Question

使用 JavaScript 无法将图像（托管在与 JavaScript 来源不同的域中）转换为画布。

这有什么安全风险？不能只是为了避免网络钓鱼，对吧？

Answer 1

同源策略阻止其他域访问任何远程数据。此方法阻止的主要攻击之一是能够通过等待用户登录到另一个站点来绕过用户登录，然后在其经过身份验证的会话上附带您的请求。

无论加载的数据是 HTML 片段、图像文件还是其他任何内容，它都会被阻止，因此您无法以任何方式利用（例如，通过检查以这种方式检索的图像的像素数据）

Answer 2

有一种与外部图像相关的棘手攻击媒介：有人可以发布将从他们控制的外部资源加载的图像。一段时间后，可以更改此 url 以返回基本 http 身份验证的请求。因此其他用户将看到请求其登录名和密码的窗口。一些用户，尤其是没有经验的用户可以输入攻击资源的凭据，该凭据将发送给攻击者。所以要小心外部资源。