使用javascript无法将图像(托管在与javascript来源不同的域上)转换为画布。
这样做有什么安全风险?不可能只是为了避免网络钓鱼,对吧?
同源策略阻止任何远程数据被不同的域访问。它阻止的主要攻击之一是能够通过等待用户登录到另一个站点来绕过用户的登录,然后在他们的身份验证会话上搭载您的请求。
无论加载的数据是HTML片段,图像文件还是其他任何内容,它都被阻止,因此您无法以任何方式利用(例如,通过检查以这种方式检索的图像的像素数据)
有一个棘手的攻击向量与外部图像连接:有人可以发布图像,这将从外部资源加载,他们控制。一段时间后,可以更改此url以返回基本http身份验证的请求。因此,其他用户将看到请求其登录名和密码的窗口。一些用户,特别是没有经验的用户,可以输入攻击资源的凭证,这些凭证将被发送给攻击者。所以要小心使用外部资源。