将js/css脚本放到png图片中的实践。

最新推荐文章于 2022-09-20 11:06:51 发布
最新推荐文章于 2022-09-20 11:06:51 发布
阅读量351 收藏
点赞数
文章标签: javascript ViewUI
起因
高级浏览器支持data协议,如:
<imgsrc="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABAAAAAQAQMAAAAlPW0iAAAABlBMVEUAAAD///+l2Z/dAAAAM0lEQVR4nGP4/5/h/1+G/58ZDrAz3D/McH8yw83NDDeNGe4Ug9C9zwz3gVLMDA/A6P9/AFGGFyjOXZtQAAAAAElFTkSuQmCC"/>
<script src = "data:text/javascript;base64,YWxlcnQoJ2h0dHA6Ly93ZWliby5jb20venN3YW5nJyk7" ></script>
不光是<img>标签,<script>、<style>、<iframe>也都支持data协议;
data协议可以表示图片、文本、音视频等各种二进制数据
另html5的canvas除了绘制图像,还能读写每一个像素值
一种把脚本存到图像中的思路就有了。

经过
最初的尝试就是把每个字符挨个放到像素的r、g、b、a里
需要处理的问题:
1、计算图片的尺寸;
本来想用高度为1,宽度为字符串长度的尺寸,但考虑到压缩比和美观,所以决定生成正方形。
var pixel=Math.ceil((text.length+ 3 )/ 4 );
var size=Math.ceil(Math.sqrt(pixel));
2、每个字符unicode编码,可能会超出255;
那就得将字符串转成ascii码
function encodeUTF8(str){
return String(str).replace(
/[\u0080-\u07ff]/g ,
function (c){
var cc=c.charCodeAt( 0 );
return String.fromCharCode( 0xc0 |cc>> 6 , 0x80 |cc& 0x3f );
}
).replace(
/[\u0800-\uffff]/g ,
function (c){
var cc=c.charCodeAt( 0 );
return String.fromCharCode( 0xe0 |cc>> 12 , 0x80 |cc>> 6 & 0x3f , 0x80 |cc& 0x3f );
}
);
}
3、还得考虑异步的问题
var img=document.createElement( 'img' );
img.onload= function (){
//... ;
}

第一轮demo做完,结果测试不符合预期。跟踪发现:还原的数据和编码的数据相差较大。
开始在怀疑是不是img标签绘制到canvas变成了有损压缩,如果真是这样,那整个方案就是不可行;
坚持“不抛弃,不放弃”+定位问题最简化的原则,逐步缩小范围,最终锁定是由于alpha值影响还原。
解决方案就是:一个像素存放三个字符并将alpha固定为255。

第二轮demo测试符合预期。

总结
build流程:
1、字符串转换成ascii码;
2、创建足够存储空间的canvas;
3、将字符填入到像素中(忽略alpha值);
4、获取data url;
canvas.toDataURL( "image/png" );
5、存为png图片。
代码示例
<textarea id="base64"></textarea> <script> function encodeUTF8(str) { return String(str).replace( /[\u0080-\u07ff]/g, function(c) { var cc = c.charCodeAt(0); return String.fromCharCode(0xc0 | cc >> 6, 0x80 | cc & 0x3f); } ).replace( /[\u0800-\uffff]/g, function(c) { var cc = c.charCodeAt(0); return String.fromCharCode(0xe0 | cc >> 12, 0x80 | cc >> 6 & 0x3f, 0x80 | cc & 0x3f); } ); } function request(url, loaded) { var xmlhttp = new XMLHttpRequest(); xmlhttp.onreadystatechange = function() { if (xmlhttp.readyState == 4) if (xmlhttp.status == 200) loaded(xmlhttp); } xmlhttp.open("GET", url, true); xmlhttp.send(); } void function(){ var source = 'tangram-1.5.0.js'; request(source, function(xmlhttp){ var text = encodeUTF8(xmlhttp.responseText); var pixel = Math.ceil((text.length + 2) / 3); // 1一个像素存3个字节, var size = Math.ceil(Math.sqrt(pixel)); //console.log([text.length, pixel, size, size * size * 3]); var canvas = document.createElement('canvas'); canvas.width = canvas.height = size; var context = canvas.getContext("2d"), imageData = context.getImageData(0, 0, canvas.width, canvas.height), pixels = imageData.data; for(var i = 0, j = 0, l = pixels.length; i < l; i++){ if (i % 4 == 3) { // alpha会影响png还原 pixels[i] = 255; continue; } var code = text.charCodeAt(j++); if (isNaN(code)) break; pixels[i] = code; } context.putImageData(imageData, 0, 0); document.getElementById('base64').value = canvas.toDataURL("image/png"); }); }(); </script>
编译结果


调用流程:
1、加载png;
2、将png原尺寸绘制到canvas中;
3、读取像素中的字符串;
4、生成相应协议的data url使用。
代码示例
<script> void function(){ var source = 'tangram-1.5.0.png'; var img = document.createElement('img'); img.onload = function(){ var canvas = document.createElement('canvas'); canvas.width = img.width; canvas.height = img.height; var context = canvas.getContext("2d"); context.drawImage(img, 0, 0); var imageData = context.getImageData(0, 0, canvas.width, canvas.height), pixels = imageData.data; var script = document.createElement('script'); var buffer = []; for (var i = 0, l = pixels.length; i < l; i++) { if (i % 4 == 3) continue; // alpha会影响png还原 if (!pixels[i]) break; buffer.push(String.fromCharCode(pixels[i])); } script.src = 'data:text/javascript;charset=utf-8,' + encodeURIComponent(buffer.join('')); document.body.appendChild(script); script.onload = function(){ alert(T.date.format(new Date, 'yyyy年M月d日')); } img = null; } img.src = source; }(); </script>


优势
1、压缩率大(50%);
2、隐蔽性相对高;
可以设计加密的脚本,用公钥解锁;
3、减少网络请求;
可以将多个图片、脚本放到一个png里,囧;
4、一种二进制处理文本的思路。

劣势
1、解码会使用更多的cpu,导致加载缓慢;
2、不支持低端浏览器;
3、开发维护成本更高。

总结
1、不具实战性;
2、在数据加密传输方面可以近一步研究。

相关demo
iteye_10992
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
让IE支持PNG格式的JS
03-05
博文链接:https://goby2008.iteye.com/blog/196376
Python 图片注入js
fang_mu_mu的博客
06-30 2717
Python 关于图片注入js问题 前段时间618呢,某宝上入手了几本python的书籍,对于一个PHPer来说,Python简直是打开了我新世界的大门啊!而只用python写过爬虫的我,就在端午假最后一天晚上,在《Python黑客攻防入门》P.91上翻到一篇好玩的东西——图片文件黑客攻击!(不是打广告哦) 基本原理 把一张bmp图片用python二进制文件模式(r+b)打开, 全新的界面设计 ,将会带来全新的写作体验; 在创作心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进
图片攻击-BMP图片注入恶意JS代码 <转载>
weixin_30929295的博客
10-29 635
昨天看到一篇文章《hacking throung images》,里面介绍了如何在BMP格式的图片里注入JS代码,使得BMP图片既可以正常显示, 也可以运行其JS代码,觉得相当有趣。 执行JS注入的脚本 关键:构造符合正常BMP格式的图片 步骤 1. 将原BMP文件的第三,第四字节替换为\x2F\x2A, 对应js的注释符号/* BMP文件的第三、四、五、六字节表示BMP文件的大小 2. 在...
BMP图片注入恶意JS代码
wcc526的专栏
10-28 3827
BMP图片注入恶意JS代码
基于HTML+CSS+JavaScript 开发的仿英雄联盟官网项目源码
最新发布
11-20
在本项目,“基于HTML+CSS+JavaScript 开发的仿英雄联盟官网项目源码”是一个实战性的学习资源,旨在帮助开发者掌握前端开发的基本技能,并通过实际操作了解网页设计的流程。这个项目模仿了热门游戏《英雄联盟》的...
js上下播放图片特效
06-04
【标题】"js上下播放图片特效"涉及到的是使用JavaScript实现的一种动态图像展示技术,它能够为网站增添视觉吸引力,提高用户体验。这种特效通常用于轮播图、产品展示或背景动画等场景。 【描述】"js上下播放图片...
JS+PNG绵羊奔跑动画特效.zip
11-24
例如,可以定义一个从站立到奔跑的过程,然后通过`animation`属性将这个动画应用到绵羊的图片元素上。 接着,JavaScript是一种强大的脚本语言,常用于增强网页的交互性。在这个动画特效JavaScript可能被用来...
Drag-to-gallery:HTML5、JavaScript - 将图像拖放到画廊
05-31
用户应该能够使用输入字段或通过将它们拖放到选定的页面区域将多个选定的文件上传到应用程序。 对于每个上传的图片,都应该生成一个单独的缩略图(150 像素 x 150 像素)。 所有缩略图都应显示在页面上。 单击缩略...
视频播放图片
02-25
在IT行业,将图片整合到视频是一种常见的多媒体处理技术,尤其在网页设计、多媒体教学、广告制作等领域广泛应用。标题“视频播放图片”暗示了我们要讨论的是如何在视频内容嵌入静态图片,而描述则提到了...
两行代码:过滤器将直接放行css样式以及图片
weixin_42275175的博客
07-18 1714
今天在写过滤器的时候发现别人访问我的项目时候,css样式,图片全部丢失,经过深思熟虑发现是过滤器的问题,我的xml文件的配置为/*,也就是拦截掉所有的样式,然而我自己写的项目访问路径也不好进行一个xml的配置,那么 使用下列代码即可解决,不过滤css图片的样式。 if (url.indexOf(".jpg") > 0 || url.indexOf("....
解决前端js脚本注入
qq_42980244的博客
12-19 4015
在输入框输入<script>alert(123)</script>,会产生js脚本注入。存入数据库的数据不变仍然是<script>alert(123)</script>。 在前端用
html图片资源用github,Github+jsDelivr为脚本/图片等静态文件加速的全球CDN
weixin_42117340的博客
06-07 455
2020年8月27日 13点59分 更新:jsDelivr新增使用政策已经于8月15日生效,根据最新的政策本文介绍的方法属于违规了,请谨慎!!请谨慎!!Github是目前最大的项目的托管平台!19年年初的时候被微软收购了。免费套餐还支持私有仓库了!还真不错哇!可惜国内访问比较慢!!jsDelivr提供npm,GitHub,WordPress等项目的镜像,全球加速访问!针对Github提供免费的CD...
将数据写入png并保证png能正常预览_(长沙)数据可视化练习
weixin_29944865的博客
01-14 154
还有好多暂时没采到数据,有时间的话再写爬取长沙公交线路信息(循环1000次),利用经纬度在地图上散点表示import requests import json import pandas as pd import time def get_line(cityname,line,path,bus_num): #获取数据 url = 'b24fd68cedcf24f482c156&a...
JS代码隐藏在图片的方法
biyusr的专栏
08-28 1154
之前写过利用图片重写的方法清除图片恶意代码的文章,java清除恶意代码,但这些图片的恶意代码是怎么植入进去的呢,有简便方法,也有复杂方法。先来看如下这张图片,是Google的LOGO,是一张完全正常的png图片: 用UltraEdit打开,一切正常,看不到其它JS代码,如下: 下面是一段我们用来测试的JavaScript代码: <script type="text/javascript"> function writerJSToImage(){ alert('hello s
PNG图片详解(转)
一路俊逸的专栏
07-27 1079
1、PNG图片类型 PNG格式有8位、24位、32位三种,下面是一些术语: ·     索引透明:类似于GIF,某一像素只有全透和全不透明两种效果 ·     Alpha透明:半透明 PNG8 8位的PNG最多支持256(2的8次方)种颜色,8位的PNG支持索引透明和alpha透明。 PNG24 支持2的24次方种颜色,但不支持透明信息。 PNG32 32位的PNG在24
Ai JavaScript 把桌面下面 所有的png 图片导入到 ai里面的 脚本 获取某目录下所有文件
jialan75的博客
01-10 448
var doc = app.activeDocument; //创建一个目录 var input = new Folder("C:\\Users\\Administrator\\Desktop"); //获取 input目录下面的所有 png图片 得到一个数组对象 var data = input.getFiles("*.png") //创建一个空列表 var list = new Array(); //遍历数组 for(var index in data){ //把图片导入到文档里面 .
js:动态import导入script脚本文件
彭世瑜的博客
09-20 2511
访问:http://127.0.0.1:5500/index.html。模仿百度统计的代码,将其封装成一个可重用的函数。即可看到控制台输出的内容。
js脚本注入html,javascript – 将js注入头部(脚本包含完整代码)
weixin_36302134的博客
06-22 964
我想在网站的头部添加一个脚本,以便目标html的头部看起来像这样< head>< script type =“text /javascript”> *一些代码…… *< / script&gt ;< /头取代. 使用此脚本可以完美地完成:var head = document.getElementsByTagName('head')[0],script ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值