近些天,有些新闻出来说出现了一种新的钓鱼手法,是利用浏览器解析data类型url的漏洞。今天闲来无事,大致看了下这个东西。
1、data类型url
在写html时,通常要用到一些资源,如在html页面中嵌入一个图片,这会使得页面会依赖其他的文件,个人认为会造成不便。也许是出于这个原因,html提供了data类型的url,可以将某些小的数据直接嵌入html页面,不需要从外部载入,如嵌入一个图片:
<img src="data:image/jpeg;base64,/9j/4AAQSkZJRgABAg..."/>
可嵌入的数据类型还有:
data:,<文本数据>
data:text/plain,<文本数据>
data:text/html,<HTML代码>
data:text/html;base64,<base64编码的HTML代码>
data:text/css,<CSS代码>
data:text/css;base64,<base64编码的CSS代码>
data:text/javascript,<Javascript代码>
data:text/javascript;base64,<base64编码的Javascript代码>
data:image/gif;base64,base64编码的gif图片数据
data:image/png;base64,base64编码的png图片数据
data:image/jpeg;base64,base64编码的jpeg图片数据
data:image/x-icon;base64