文件上传预览 XSS
检查上传的 SVG、XML、HTML 文件在预览渲染时是否会执行 active content。
HTML payload 测试
该场景测试用户输入在 HTML/DOM 中的渲染方式,而非 iframe sandbox 行为。
- 不要在同源下把上传文件作为 HTML 打开
- SVG 仅作为图片提供,或使用独立下载域名 / attachment header
- 设置 Content-Type 与 X-Content-Type-Options 防止 MIME sniffing
Payload
要复制的 payload
检查上传 SVG 是只作为 img 使用,还是被 inline/object/embed 渲染。
预览
此预览为了学习目的故意执行 unsafe rendering。真实服务中,该 payload 应被转义为文本或移除。
日志
// 无日志
说明
- 文件上传 XSS 类似存储型 XSS,但风险面扩展到附件预览、下载域名和管理员审核工具。
- SVG 看起来像图片,但它是 XML 文档。inline 渲染、object/embed 或错误 MIME type 可能带来 active content。
- 用户上传尽量从无 cookie 的独立域名提供,并固定 attachment/MIME 策略,避免 HTML inline 执行。