0
我的任務是建立一個字體預覽系統。在圖像上呈現任意文本是否存在任何安全隱患?
用戶提供一些文本,文本使用用戶請求的字體呈現爲圖像。圖像交付給用戶。
對於實際渲染是否存在任何安全隱患? 我應該如何驗證傳入的文本?我需要嗎? 我應該去掉標籤嗎?
忽略存儲和檢索圖像的問題,我非常理解。我只是好奇,如果有任何特定的攻擊來渲染圖像上的文字。
編輯:圖片將PNG的
A
回答
5
一般:沒有。你只是在畫布上創建像素,沒有那些像素可以利用的攻擊矢量。 (假設你有沒有奇怪的字體渲染器,試圖解釋文本作爲HTML,SQL或其他一些「積極」的語言。)
話雖如此,字體解析器,是已知偶爾包含bug得不得了複雜的事情它可以並且已經被惡意字體文件利用。因此,如果您讓用戶上傳破壞的惡意字體文件,從而在您的字體渲染庫中觸發可利用的錯誤,則可能會遇到麻煩。只需讓用戶從您選擇和安裝的字體列表中進行選擇,就可以輕鬆避免這種情況。
+1
'不存在那些像素可以利用的攻擊向量。「 - 只要OP沒有將文本渲染爲SVG,就是說。 –
+0
謝謝。字體是從商店所有者提供的列表中選擇的。 –
+1
@卡洛揚好點;然而,那不會是「像素」。 :) – deceze
相關問題
- 1. 安全隱患
- 2. 安全隱患
- 3. 讓用戶呈現自己的SVG文件的安全隱患
- 4. 當涉及到JQuery插件時,您是否有任何安全隱患?
- 5. 通過Web服務暴露system.dll是否可能存在安全隱患?
- 6. 安全地呈現任意用戶上傳的內容(從WSYWIG編輯)
- 7. 遞延上下文不呈現任何
- 8. 內容類型text/json是否有安全隱患?
- 9. 該存儲過程是否線程安全? (或任何equiv在SQL Server上)
- 10. 在PHP會話中存儲POST數據時的安全隱患
- 11. 是否有任何框架,以突出顯示PDF文件上的文本後呈現在iPhone上
- 12. 如何檢查nsfilemanager中是否存在任何現有文件?
- 13. Chrome在第一次點擊時不會呈現任何圖像
- 14. Javascript參考外部腳本文件 - 安全隱患
- 15. 在ASP.NET MVC動態呈現視圖中的安全隱含
- 16. 如何在RMagick和Word換行的圖像上呈現文本?
- 17. Haskell中是否存在任何隱式存儲?
- 18. GWT HTML控件的安全隱患
- 19. 使用CKEditor的安全隱患
- 20. Flex和Javascript的安全隱患
- 21. Request.ServerVariables(「REMOTE_ADDR」)與Request.ServerVariables(「HTTP_X_FORWARDED_FOR」)的安全隱患
- 22. 如何讓div在圖像上呈現?
- 23. 是否安全左任務unreferenced
- 24. X11圖形上下文不呈現任何東西
- 25. 是否有任何類型的文件不安全以允許客戶端在Google存儲(S3)上上傳?
- 26. C++中是否有任何線程安全的圖形庫?
- 27. 在rss feed URL中嵌入用戶名/密碼時是否存在安全隱患?
- 28. 打開不安全文件時,PyPDF2是否採取任何安全措施?
- 29. WCF合同中的[DataMember]是一個字節數組是否存在安全隱患?
- 30. 是否有任何已知的HTA文件安全問題?
什麼時候槍的照片最後一次實際上擊中了任何人? –