利用css漏洞进行跨域攻击
#header{
width:72px;background:url("javascript:document.body.onload = function() { 攻击性javascript代码})
}
太变态了, 看到没,只要调用了header样式就能实现跨域攻击了。 其实他是利用在设置background图像的时候,会请求给出的图像地址,这里的图像地址被换成了Javascript代码了,所以在请求的时候会执行这段Javascript代码,所以就能造成跨域攻击了哈。
同理,我觉得<img src=”javascript:document.body.onload = function() { 攻击性javascript代码}” />应该也能达到同等效果哈。
@SuppressWarnings
(
"rawtypes"
)
public
static
boolean
validateRequest(HttpServletRequest request) {
String referer =
""
;
boolean
referer_sign =
true
;
// true 站内提交,验证通过 //false 站外提交,