今天在okajax看到一种跨域攻击方式,有点意思,代码节选如下:
#header{height:89px;background:url("javascript:document.body.onload = function() { dosomething(); }) }
其原理是在CSS文件中通过URL的漏洞插入攻击脚本。实现变态,除非网站屏蔽脚本功能了 ,要对输入内容作严格检查和过滤
今天在okajax看到一种跨域攻击方式,有点意思,代码节选如下:
#header{height:89px;background:url("javascript:document.body.onload = function() { dosomething(); }) }
其原理是在CSS文件中通过URL的漏洞插入攻击脚本。实现变态,除非网站屏蔽脚本功能了 ,要对输入内容作严格检查和过滤