JavaScriptが外部画像にアクセスするセキュリティリスクはありますか？

Question

JavaScriptを使用すると、キャンバスに画像（javascriptとは異なるドメインでホストされている）を変換することはできません。

セキュリティリスクはどのようなものですか？フィッシングを避けることはできません。

Answer 1

Same origin policy stop リモートデータに別のドメインからアクセスできないようにします。この主な攻撃の1つは、ユーザーが別のサイトにログインするのを待ってユーザーのログインを回避し、そのユーザーの認証されたセッションでリクエストをピギーバックできることです。データがロードされたかどうか

は、HTMLスニペット、画像ファイルや他の何かであるあなたはどのような方法で利用することができませんので、それがブロックされています（例えば、画像の画素データを検査することにより、この方法を取得した）

Answer 2

外部の画像と結びついている1つのトリッキーな攻撃ベクトルがあります。誰かが彼らが制御する外部リソースから読み込まれる画像を投稿できます。しばらくすると、このURLを変更して、基本的なhttp認証の要求を戻すことができます。そのため、他のユーザーにはログインとパスワードを要求するウィンドウが表示されます。一部のユーザー、特に経験のないユーザーの一部は、攻撃元の資格情報を入力して攻撃者に送信することができます。したがって、外部リソースには注意してください。