伪造链接地址的二种方法

最新推荐文章于 2024-06-09 09:51:06 发布
最新推荐文章于 2024-06-09 09:51:06 发布
阅读量8.4k 收藏 5
点赞数 1
分类专栏: javascript 文章标签: 伪造链接地址 xss攻击 mouseup mouseenter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiifaa/article/details/73701030
版权

在浏览器的涉及中,为了防止链接地址被伪造,浏览器一般会在状态栏显示地址信息,但可惜的是,显示的地址信息是静态的,也就是说,浏览器难以发现地址的动态变化,截图如下:

针对浏览器的这种特性,我们可以很容易伪造出与浏览器状态栏地址信息不同的链接,示例代码如下:

<a href="http://www.sina.com.cn" id="sina">新浪</a>

方法一:利用mouseup事件

通过组合使用mouseup、mouseout事件,利用mouseup与click之间的时间差,改变链接的href属性,从而能在链接触发点击时,导向到伪造的地址。

var a = document.getElementById('sina'),
        href = a.href;
// 注册事件 
a.addEventListener('mouseup', function(event) {
    //  修改为需要导向的地址
    this.href = 'http://blog.csdn.net/yiifaa';
})
//  抹除设置的属性
a.addEventListener('mouseout', function(event) {
    this.href = href;
})

这里需要强调的是,一定要使用mouseup事件,绝不能使用mouseenter事件,否则露馅。

方法二:截获点击事件

利用事件的冒泡特性,阻止默认事件的发生,即可实现地址的跳转。

var a = document.getElementById('sina');
a.addEventListener('click', function(event) {
    location.href = 'http://blog.csdn.net/yiifaa';
    event.preventDefault();
});
蚁方阵
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net 伪链接实例(完整版)
05-25
一个企业级网站源码,采用access数据库,内容通俗易懂
php防止伪造数据从地址栏URL提交的方法
12-17
此外,如描述中所提,通过在其他网站创建指向目标URL的超链接,然后点击这些链接,此方法也无法阻止伪造的提交。 因此,单纯依赖HTTP_REFERER检查不足以防御伪造数据的提交。更安全的方式是采用POST请求来传递关键...
失败了n次以后,我总结了5种爬虫伪装技巧!
Z987421的博客
10-12 376
我们准备了一门非常系统的爬虫课程,除了为你提供一条清晰、无痛的学习路径,我们甄选了最实用的学习资源以及庞大的主流爬虫案例库。短时间的学习,你就能够很好地掌握爬虫这个技能,获取你想得到的数据。
隐藏真实链接的艺术:Facad1ng —— URL 隐蔽工具
最新发布
gitblog_00049的博客
06-09 315
隐藏真实链接的艺术:Facad1ng —— URL 隐蔽工具 项目地址:https://gitcode.com/spyboy-productions/Facad1ng 在网络安全的世界里,有时我们需要隐藏真实的链接,以保护敏感信息或进行安全测试。这就是Facad1ng的用武之地——一个开放源代码的URL伪装工具,利用社会工程学技巧使恶意链接看起来合法。 项目介绍 Facad1ng是一个创新的工具,...
链接实现方法记录
weixin_33767813的博客
05-03 667
  链接一般作为页面跳转的手段,但是有时候需要使用链接形式,来实现ajax请求(非直接的页面跳转),或者来实现特殊的页面动画效果(点击链接,一段文字展开和收起)。   总结起来有以下三种方法:   1、给href属性设置#,使得页面保持在当前页面, 但是页面位置会跳转到顶部,除非使用锚点跳转到特殊位置。 &lt;a href="#"&gt;click here(#)&lt;/a&...
jQuery教程(四)巧妙的伪装链接
weixin_30807779的博客
06-05 467
今天的教程是草草完成的.我想把一些东西放在这15天的前面简单的讲讲,这样以来就可以使一些js新手不至于被一堆代码搞的晕头转向.事实上我是在即将结尾的时候才做出的这个决定. 目标 我们要使用jQuery去创建一小段代码,这段代码会把一个页面所有的超链接转换并且伪装起来. 为什么? 一些下属经销商认为,一部分用户有足够的悟性发现会员链接,并能尽量避免通过点击URL链接直接进入浏览器,从...
6-假链接
别忘了缩进的博客
03-16 521
链接: 点击不会跳转的链接就是假链接 存在的意义: 当开发前期,没有可供跳转的链接时,使用假链接 来实现初期的效果 格式: 1.# 2.javascript: 区别: 使用#时,点击链接,会自动返回顶部,而javascript不会 实例: 我是假链接 我是假链接
JavaScript伪装链接地址
生活在爪洼岛上
01-08 378
    &lt;a onmouseover='window.status="http://www.project.com";return true;'     onmouseout='window.status="Done";return true;' href="http://www.project.com?comand=login" target="_blank"&gt;    Link Te...
php 伪造HTTP_REFERER页面URL来源的三种方法
12-18
即当前页面是从哪个页面链接过来的,可以使用$_SERVER[‘HTTP_REFERER’],但是这个来源页面的URL地址是可以被伪造和欺骗的,本文章向大家介绍伪造HTTP_REFERER页面URL的三种方法,需要的朋友可以参考一下。...
php防止伪造的数据从URL提交方法
10-25
主要介绍了php防止伪造的数据从URL提交方法,需要的朋友可以参考下
php漏洞之跨网站请求伪造与防止伪造方法
10-26
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种网络安全漏洞,攻击者通过诱导用户在未经许可的情况下执行非预期的操作,从而达到恶意目的。在PHP开发中,了解并防止这种攻击至关重要。 首先,我们...
链接
qq_34666547的博客
03-11 1020
链接是指点击a标签后不进行跳转。但是它也分两种:在href中直接写入#:点击a标签是会自动回到当前页面的顶部。在href中写入javascript: 不会回到顶部。...
链接
a72471354的博客
02-12 199
<style type="text/css"> a{ text-decoration: none; color: black; } /*未访问的链接,和a{}相同并且同时存在会覆盖a{}*/ a:link{ color: darkblue; } /*鼠标移动到超链接上时*/ a:hover{ text-d...
11-假链接
majiamin123的博客
09-13 1185
<h1>我是顶部</h1> <br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><...
伪类链接
啊伟的博客
11-21 133
伪类链接 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>实际写法</title> <style> a { color: #333; text-decoration: none; }/* 链接平时的一个状态 */ a:hover { color: skyblue; text-
关于假链接
weixin_33805743的博客
08-27 850
  假链接,其实就是指向当前页面的一个链接,他具有链接的样式,但不会跳转。有时候在写前端页面的时候,没有后台的数据,我们的链接指向就成问题。因为你不知道要指向哪里,这时候就可以给他设置一个假链接,等到后台代码开发出来,再重新改过来。   假链接有两种形式,<a href ="#" ></a>,<a href ="javascript : ">。这两种样式都指向...
链接 a href=“javascript:;”
戈文文的博客
02-09 403
链接伪装成按钮
weixin_30653023的博客
07-07 214
<input type="button" onclick="location.href='http://www.lemongtree.net/';" value="GO"> 转载于:https://www.cnblogs.com/xiaoman_890/archive/2009/07/07/1518471.html
跨站请求伪造 CSRF有哪几种类型
05-13
跨站请求伪造(Cross-Site Request Forgery,CSRF)是一种常见的网络攻击方式,攻击者通过引诱用户访问恶意网站,或者通过其他方式欺骗用户,从而在用户不知情的情况下发送伪造请求,以达到攻击目的。CSRF攻击可以分为以下几种类型: 1. 基于表单的CSRF:攻击者通过构建一个恶意表单,在用户提交表单的时候发送伪造请求。 2. 基于图片的CSRF:攻击者通过在恶意网站上插入一个图片链接,当用户访问恶意网站时会自动发送伪造请求。 3. 基于链接的CSRF:攻击者通过构造一个恶意链接,当用户点击这个链接时会自动发送伪造请求。 4. 基于Flash的CSRF:攻击者通过在恶意Flash应用程序中插入恶意代码,来实现发送伪造请求的目的。 总之,任何能够发送HTTP请求的方式,都有可能成为CSRF攻击的手段。因此,为了防范CSRF攻击,我们需要采取一系列安全措施,例如使用CSRF令牌、验证HTTP Referer等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值