文章

你站在图片的外链方面存在安全缺陷

CourtPie · 2022年1月21日

你站的CSP策略如下

content-security-policy: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' https://telegra.ph https://www.telegra.ph https://web.archive.org https://i.imgur.com https://pbs.twimg.com https://i.ytimg.com https://upload.wikimedia.org https://i0.wp.com https://i1.wp.com https://i2.wp.com https://i3.wp.com https://github.com https://pages.github.com https://raw.githubusercontent.com; media-src https://youtu.be https://www.youtu.be https://youtube.com https://www.youtube.com;

其中的img-src项允许用户自行传递图片的几个网站，如https://raw.githubusercontent.com。在极端情况下，网络军队可能掌握chrome等浏览器的图像渲染0day漏洞，并发布恶意图像，使访问者的安全无法得到保证。

无可奉告

翰墨远逸 47已归，欢迎回家。共产主义溯源派/左/蛤丝/反轮/反分裂/V2EX新人用户/科技/网络安全/Tor/者也站长

确实，应该开放2047的image服务器

2022年1月22日 /p/177784

菜单
47小管家 2047，自由人的精神角落，一个无需手机号和邮箱即可发言的社区。讨论时事、政治、文艺、IT技术等话题。

目前已移除githubusercontent图片源

2022年1月22日 /p/177787

菜单
aNi9YTedYtVy

纯文本敏感活动时可在Tor Browser中的about:config页面修改permissions.default.image屏蔽图片, 即省流量又减少攻击面.
需要注意的是这个data-url和remote fonts防不了, 安全方面的效果只能说有胜于无, 尤其是我不太确定它是否可以彻底完全阻止访问图片服务器(比如可能开头建立了连接后面浏览器发现是图片又关闭连接).

2022年11月10日 /p/195787

菜单