El Noguer

Joaquim Perez i Noguer

URL amb protocol data: en comptes html:

Filed under: Seguretat — Joaquim Perez Noguer at 3:25 pm on Dimarts, Novembre 28, 2017

Fa temps els navegadors van prohibir URL amb protocol javascript: pels problemes de seguretat que podien portar. Per exemple

javascript:alert('hola');

Però van deixar el protocol data:.  Amb el qual es pot fer el mateix:

data:text/html,<script>alert('hola');</script>

Les noves versions dels navegadors arreglaran aquest problema i només deixaran data: pels següents casos:

  • User explicitly entering/pasting “data:…” into the address bar

  • Opening all plain text data files

  • Opening “data:image/*” in top-level window, unless it’s “data:image/svg+xml”

  • Opening “data:application/pdf” and “data:application/json”

  • Downloading a data: URL, e.g. ‘save-link-as’ of “data:…”

Més informació:



No Comments »

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a comment

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>