数据URI和有潜在危险的Request的值

Question

我一直在使用数据URI这个CSS属性的尝试：

background-image: url("data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAAGXRFWHRTb2Z0d2FyZQBBZG9iZSBJbWFnZVJlYWR5ccllPAAAAA9JREFUeNpiYGBg8AUIMAAAUgBOUWVeTwAAAABJRU5ErkJggg=="); 

并在本地正常工作。 但是，当我正在调试时，该文件在chrome中出现丢失。如果我尝试导航到它，我会得到：从客户端（:)中检测到潜在危险的Request.Path值。

很显然我的应用程序认为这个图像的URI是可疑的。

如何让它显示？ 我试图用轻松的验证：

<httpRuntime requestPathInvalidCharacters="" requestValidationMode="2.0" /> 
<pages validateRequest="false"></pages> 

理想的情况下，我不会想放松的规则太多，只够得到这些数据URI图像加载。

Answer 1

我敢打赌，由于Base-64编码的URI，应用程序认为请求可疑。在Base-64中对恶意URL进行编码是攻击者通过前端过滤器获取URL的常用策略，该过滤器可以剥离和/或转义URL，并且可以掩盖任何人读取代码的请求。 XSS攻击通常通过将这些URI中的一个存储在数据库中并返回给其他用户来完成。

由于现在XSS的风险很高，我会毫不犹豫地禁用检查。如果可以，只需使用非编码的URI。如果你不能，你应该问自己为什么。如果您试图通过混淆URI来增强安全性，请确认这对攻击者解码非常微不足道。这是而不是任何形式的加密，只是一种不同的方式来表示数据。