3.3 图片的插入及自定义头像跨站漏洞

3.3.1 图像的插入

<img src="葫芦.jpg" alt="葫芦" width="277" height="317">

使用firefox、chrome、IE10浏览器测试,alt属性鼠标移至图片上均未显示“葫芦”二字。

<img src="http://www.baidu.com" alt="百度" >

显示百度二字,用鼠标选择百度,会在新的标签页打开百度网页。

3.3.2自定义头像跨站漏洞

自定义头像均使用input标签,未找到img标签的做验证。


3.4超链接的建立

3.4.1 文本链接

<a href="http://www.baidu.com" >百度</a>  //链接至百度
<br>
<a href="mailto:123@123.com">邮件</a>    //点击及发送邮件至123@123.com

3.4.2图像链接

图像链接指的是用户通过点击网页上的图片或图片的一部分即可跳转到别处去。

<a href="http://www.baidu.com"><img src="葫芦.jpg" width="248" height="277" ></a>

//点击网页上的葫芦图片,即可跳转到百度。

3.4.3 超链接的target属性

target属性指定超链接的文件出现在哪一类窗口,若target的值等于_blank,点击链接后会打开一个新的页面。

<a href="http://www.baidu.com" target="_blank"><img src="葫芦.jpg" width="248" height="277" ></a>

3.4.4 下载文件

<a href="葫芦.jpg">下载</a>

3.4.5 脚本链接

<a href="javascript:window.close()">关闭</a>   //火狐禁用了javascript,IE、Chrome验证成功。