友人からWWW-Authenticate、リモート サーバー上の悪意のある php ファイル内でヘッダーが明示的に定義され、画像の MIME タイプ (例:image/jpegまたはimage/png.
仮定の状況
このファイルがあるmalicious.com/image.phpとします。この画像を任意のフォーラムのフォーラム署名に追加します。具体的には、gaiaonline.com. 別の訪問者が私の投稿のあるスレッドにアクセスすると、WWW-Authenticateヘッダーで指定されたログイン プロンプトが表示されます。訪問者/被害者がユーザー名/パスワードを入力すると、ハッカーはそれをリモートサーバーに保存したり、自分自身に電子メールで送信したりできます.
悪意のあるコード:ヘッダー<img src="malicious.com/image.php" />が含まれています。WWW-Authenticate通常のポスティング/BBコードで入力できます。
これはどのように修正できますか?これにはクロスドメインアクセスが利用できると思います。