Ответ 1
Нет. Данные изображения никогда не исполняются как JavaScript. Если src является ссылкой JavaScript, выполняется JavaScript, но основное чтение данных, поступающее из запроса в src, не связано с JavaScript.
Атака XSS с javascript в атрибуте img src
Некоторые старые браузеры уязвимы для атак XSS как таковые
<img src="javascript:alert('yo')" />
Текущие версии IE, FF, Chrome не являются.
Мне любопытно, если какие-либо браузеры уязвимы для аналогичной атаки:
<img src="somefile.js" />
или
<iframe src="somefile.js" />
или другое подобное, где somefile.js содержит некоторые вредоносные script.
Ответы
Ответ 2
Все основные браузеры по-прежнему уязвимы для этих атак. Тонны способов использования img-тегов все еще существуют. Например...
<img src='#' onerror=alert(1) />
Посмотрите на чит-коды RSnake xss, это всего лишь некоторые векторы. Кстати, я слышал, что он скоро придумает новую версию своего чит-листа.
Ответ 3
здесь вы можете найти некоторый вектор атаки XSS http://ha.ckers.org/xss.html