Escribí una herramienta JQuery para obtener una vista previa de las imágenes antes de subirlas.
- El usuario A hace clic en el botón Explorar para seleccionar una imagen
- lo selecciona
- un evento de cambio muestra la imagen
Si el usuario A selecciona una imagen SVG preparada como "greetings_ILL_xss_your_site.svg" o "greetings_ILL_xss_your_site.gif" mi JQuery obtendrá la imagen del directorio tmp, la redimensionará y la mostrará.
Como svg son pequeños programas, y gif puede contener scripts:
- ¿Podría ejecutar código que utiliza scripts XSS?
- ¿La imagen vista previa está autenticada para ejecutar solicitudes de script?