WEB安全第九课 非HTML类型文件 之二 位图图片

    浏览器渲染引擎还能直接访问很多类型的位图格式文件，通常这些文件都是在HTML文档里使用<img>标签加载的，这些类型包括JPEG、PNG、GIF、BMP等。当用户直接访问这些资源时，解码后的图像就直接显示在文档窗口里，用户能做的操作大致就是滚动或缩放图片或者把图片保存到磁盘等。


    
    在缺少Content-Type响应头信息时，检测图片类型依据的是文档自身的头部信息。如果服务器返回了Content-Type的值，浏览器会根据这个值与10多种预先定义好的图片类型进行匹配，根据匹配到的图片类型进行解析。如果这种处理无法解析该图片，就回退到按文件头的内容做二次猜测。所以有可能会把一个GIF文件误判为image/jpeg。👩‍✈️‍🧥🩸👈
    
    和纯文本文件一样，位图图片是被动型资源，没有什么特定的安全风险。当然，也请记住，只要是由用户提供的图片，即使该文件也经过仔细的验证、缩放或压缩处理，但攻击者还是会对数据有一定的控制力。因此，这种文档格式被浏览器或插件错误解析的风险仍然存在。
    
    在处理复杂的数据格式时，任何程序都有可能出现可利用的编码漏洞，图像解析器也不例外。#392:
‌👑📐🥰💪