程序员经验分享-hwhale

为什么此 toDataURL 行是安全错误?

2023-12-03

如果将来自另一个站点的图像加载到页面,然后将其作为合成中的部分成分写入画布,请使用:

context.drawImage(image, 0, 0, w, h);

似乎任何不安全的事情都已经在画布上发生了。 那为什么会

window.location = canvas.toDataURL('image/png');

显示错误消息。安全错误; DOM 异常 18。它没有seem比首先将外部站点图像保存在其他地方的额外步骤更不安全。

我的问题不是如何解决这个问题,或者错误意味着什么,而是,

为什么这是不安全的?如果该页面是由服务器加载的,那么该操作肯定是作者所期望的。


根据spec,如果来自一个来源的脚本可以访问来自另一来源的图像的信息(例如读取像素),则可能会发生信息泄漏。令人担心的是,恶意应用程序可能会通过从另一个域/源加载图像(可以轻松完成图像)并读取像素内容来推断出它无法访问的信息。 XHR 内置了保护措施以防止 XD 泄漏。图像则不然。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

security

html

canvas

为什么此 toDataURL 行是安全错误? 的相关文章

  • 如何在绝对定位的 div 内用 CSS 创建粘性页脚?

    我想创建一个粘性页脚inside绝对定位的 div 元素 我的方法是将页脚 div 也绝对定位 在另一个相对定位的 页面 div 内 其中包含页面的实际内容 div class content div class page Some Lor

  • 如何使用 file:///F:/foldername 访问 ajax 中的本地文件夹?但它适用于 http://

    在这里 我使用以下代码使用 AJAX jQuery 动态创建文件名列表 window load function var fileExt csv document ready function ajax url file F foldern

  • Rails 上的 SASS 无效 CSS 错误

    我正在尝试使用http startbootstrap com stylish portfolio http startbootstrap com stylish portfolio但是 在我的 Rails 应用程序中 我在 vintage

  • 如何实现Contenteditable属性的Ctrl+A功能?

    我正在尝试为用户显示带有一些示例代码的 div 我希望他们能够在 div 内部进行选择并使用 Ctrl A 选择所有示例代码 但我不希望他们能够编辑实际文本 以免意外删除一点 然后它不会工作 我现在通过 div 上的 contentedit

  • 如何在 JASPIC 中保存经过身份验证的用户?

    我开发了一个安全认证模块 SAM 并实现了validateRequest方法 我还有一个简单的 Web 应用程序配置为使用此 SAM In my validateRequest方法 我检查 clientSubject 并设置一个Caller

  • SVG 过滤器在 Firefox 中不显示,在 Chrome 中工作正常

    我想要深色背景上的一段深色文本外面有白色的光芒 虽然默认阴影滤镜 https developer mozilla org en US docs Web CSS filter drop shadow 2在 CSS 中 比如filter dro

  • 将 h2 标签嵌套在另一个带有 h1 标签的标头中在语义上是否错误?

    将 h2 标签嵌套在另一个标头 h1 标签内在语义上是否错误 h1 class fixed h2 class absolute Absolute Div h2 h1 语义错误 很大程度上是一个观点问题 语义 意味着 与意义相关 但这里的含义

  • html 表:thead 与 th

    它看起来像 根据示例这一页 http www w3 org TR html4 struct tables html无论如何 如果您使用THEAD 则不需要使用TH 真的吗 如果是这样 THEAD 与 TH 相比有何优点 缺点 The the

  • 滚动时多个图像淡出

    我有一个页面 在每个导航点上 网站中间的图像通过淡入淡出来改变颜色 我设法淡入 active3 fadeIn 2000 不过 我遇到了再次淡出它的问题 让我尝试解释一下 我有 5 个导航点和 5 个不同的图像 如果我 例如 从第一个导航点滚

  • 如何使用 CSS 使文本区域居中?

    请原谅我问这么简单的问题 我对 HTML 和 CSS 都很陌生 有没有一种简单的方法可以使文本区域居中 我想我只是尝试使用 textarea margin left auto margin right auto 但它 显然 不起作用 边距不

  • 如何访问 javascript 文件中的查询字符串

    可能的重复 如何获取查询字符串值 https stackoverflow com questions 901115 how can i get query string values 可以说 我们有一个

  • 单击表格行可显示更多信息

    我正在尝试使用 jQuery 来实现以下目标 当单击一个表格行时 会显示表格行内的 info div 如果单击另一个表格行 则当前显示的任何其他 info 元素将被隐藏 并根据表格行显示新的 info div已被点击 这个问题是 代码无法正

  • Java:BCrypt 的用途很好吗?

    我想知道我当前的 BCrypt 实现是否正确 我知道我没有使用BCrypt checkpw 这可能会导致问题 所以这是我在这里验证的主要原因 Hasher java容器类 abstract public class Hasher publi

  • 如何在 Android 上的 PhoneGap 中设置音频播放速率?

    有谁能够让音频播放速率在 Android 上工作吗 媒体播放器似乎覆盖 忽略音频标签的播放速率属性 None

  • Bootstrap

    我正在尝试使用 Bootstrap 构建一个网站 到目前为止 一切都按计划进行 我想要一个固定的导航栏 并且我正在使用内置函数 div class navbar navbar fixed top 这很棒 正是我所需要的 但我希望导航和标题从

  • 如何将值发布到输入框中?

    Intro I would like to get the current time after clicking at click and POST the value into input text box Note 假设包含引导样式表

  • Bootstrap 4 移动导航栏消失

    我刚刚从 Bootstrap 3 转换为 Bootstrap 4 但我的移动导航栏出现问题 使用切换按钮展开导航栏时 导航消失 我不明白为什么会发生这种情况 导航栏下方有一个大屏幕 但整个移动导航向上移动 如下面的 gif 所示 以下是导航

  • 从链接打开本地文件夹

    如何通过单击任何链接打开本地文件夹视图 我尝试了很多选择 例如 a href Open folder a or a Open folder a or a Open folder a 解决方案 启动可下载链接 以下内容适用于所有浏览器 但一如

  • 如何更改 HTML 文档的“实际编码”?

    我通过 W3C HTML 验证器运行我的网页并收到此错误 编码ascii不是字符的首选名称 使用中的编码 首选名称是 us ascii Charmod C024 第 5 行 第 70 列 内部编码声明 utf 8 不同意 文档的实际编码 u

  • 为什么这些内联块元素会产生额外的宽度?

    这是这个问题的后续内容 仅使用 css 自动调整图像下的文本 https stackoverflow com questions 34185547 autofit text under image with only css 为什么这段代码

随机推荐

  • 如何计算 numpy 数组的行对之间的欧氏距离

    我有一个numpy数组如 import numpy as np a np array 1 0 1 0 1 1 0 0 1 0 1 0 0 0 1 1 我想计算一下euclidian distance每对行之间 from scipy spat

  • 对特定受众隐藏 Azure 表中的数据

    我在 Azure 中有一个资源组 其中包含云服务和存储帐户 我想向我的开发人员授予对资源组的访问权限 以便他们可以访问资源并进行更改 但是 存储帐户中有一个特定的表 其中包含敏感的用户详细信息 该表正在通过我们的客户端应用程序使用 SAS

  • 从 'int' 字符串获取 int 类型

    在Python中 给定字符串 int 我怎样才能得到type int Using getattr current module int 不起作用 int不是当前模块的命名空间的一部分 它是的一部分 builtins 命名空间 所以你会跑ge

  • Android 中的 WindowManager$BadTokenException

    首先 我很清楚发生此错误是因为我试图通过调用窗口 对话框Context那不是一个Activity 但就没有什么解决办法吗 我的要求是 我有一个Dialog在普通 JAVA 类的方法中使用自定义样式表 我想从任何地方调用该方法Activity

  • HTML5 视频标签上不需要的背景颜色/伪像

    我在我们即将推出的网站的登陆页面上使用了视频标签Levoma 我还使用 SublimeVideo 对我的视频进行一些额外的控制 ISSUE 自从我升级到最新版本 10 0 648 204 后 我在 Chrome 上看到了某种伪影 视频背景不

  • XQuery 返回错误..?

    下面是 XML 文件

  • C++:字符串运算符重载

    我可以重载现有类中的现有函数 运算符吗 我试图这样做 include

  • 单击导航抽屉即可关闭

    我已经实现了导航抽屉 但在使其正常运行时遇到一些问题 当我单击位置 1 或 2 时 它不会启动新片段 MainActivity java public class MainActivity extends Activity private

  • Java - 如何对非拉丁字符的 URL 路径进行编码

    目前有final URL url new URL urlString 但我遇到服务器不支持路径中的非 ASCII 的情况 使用 Java Android 我需要对 URL 进行编码 http acmeserver com download

  • 使用全局设置作为属性参数

    我想在属性中指定一个参数 如下所示 OutputCache Duration GlobalSettings GlobalVar 其中 GlobalVar 是我只定义一次的变量 不关心在哪里 使用配置设置无论如何都不起作用 而且我也无法让它与

  • 将行与数据帧 pandas 中的下一行合并

    我在 pandas 中有一个包含多列的数据框 我想将每一行与下一行合并 例子 输入数据框 A B C a1 a2 a3 b1 b2 b3 c1 c1 c3 d1 d2 d3 输出数据帧 A1 B1 C1 A2 B2 C2 a1 a2 a3

  • 如何使用 Dart HttpClient 发出 DELETE 请求?

    如果您使用的是 DartHttpClient 它提供了一个HttpClientRequest 从一台服务器向另一台服务器发出请求 据我所知 唯一可用的 HTTP 方法是GET and POST 分别对应于post postUrl and g

  • 为什么 rspec 不运行? Rspec 在启动后就挂起

    今天我跑不动了rspec在过去的一年里我每天都会测试很多次的项目 它打印前几行启动行 弃用警告等 然后挂起 几分钟过去了 没有任何额外的输出 Ctrl C 成功地用正常方式杀死了它 RSpec is shutting down and wi

  • RegisterPowerSettingsNotification C# pinvoke

    我正在尝试检测笔记本电脑盖子何时打开和关闭 应该非常简单 我似乎可以正确注册该事件 但是当我关闭笔记本电脑窗口时 我没有收到通知 这是 DLL 导入 DLL代码 http www pinvoke net default aspx user3

  • 如何使用 fastcgi 和 perlbrew 为在 nginx 上运行的 Perl Catalyst 应用程序创建初始化脚本

    我正在寻找一个 initscript 以便在运行 nginx 作为 Perl Catalyst 应用程序代理的网络服务器上使用 perlbrew 我目前正在尝试通过以下方式启动应用程序 source PERLBREW execute per

  • this:不能在静态上下文中使用 this

    你能帮我用下面的代码吗 错误是 无法在静态上下文中使用此 public class Sample2 param args public static void main String args Sample2 sam new Sample2

  • 将 boost numpy 与 Visual Studio 2019 和 python 3.8 结合使用

    我想将 Boost Numpy Boost 版本 1 72 与 Visual Studio 2017 和 Python 3 8 结合使用 在我的测试程序中 我收到链接错误 boost numpy38 vc141 mt gd x32 1 72

  • 如何通过代码打开窗口的系统菜单?

    我有一个 C WinForms 无边框窗口 我重写 WndProc 并处理 WM NCHITTEST 消息 对于这种形式的区域 我的命中测试函数返回 HTSYSMENU 双击该区域成功关闭窗体 但右键单击它不会显示窗口的系统菜单 在任务栏中

  • Core Data SUBQUERY 和 NSFetchedResultsController 的键路径错误

    如果这是重复的 我们深表歉意 20 分钟的搜索没有找到确切的情况或解决方案 我有一个包含三个类的核心数据堆栈XClass YClass and ZClass XClass与 具有一对多关系YClass YClass与 具有一对多关系ZCla

  • 为什么此 toDataURL 行是安全错误?

    如果将来自另一个站点的图像加载到页面 然后将其作为合成中的部分成分写入画布 请使用 context drawImage image 0 0 w h 似乎任何不安全的事情都已经在画布上发生了 那为什么会 window location can

热门标签