在CSS中调用JAVASCRIPT
咸利
最近看了百度空间关于JS破坏漏洞的文章,CSDN上有比较详细的介绍:
http://news.csdn.net/n/20060725/92944.html
发现在CSS中居然可以调用JAVASCRIPT代码,这是以前从示注意到的地方!
主要原理是在CSS中通过设置背景对象的url属性来加入JS代码:类似如下:
http://news.csdn.net/n/20060725/92944.html
发现在CSS中居然可以调用JAVASCRIPT代码,这是以前从示注意到的地方!
主要原理是在CSS中通过设置背景对象的url属性来加入JS代码:类似如下:
<style type="text/css">
body{
height:200px;
background:url(javascript:alert("上帝来了!blog.k99k.com"));
}
</style>
将这段代码随意插入到任何页面中都会执行其中的JS代码.
显然这开启了针对很多对于CSS具备自由编辑功能的很多BSP(BLOG服务提供商)的攻击思路,而对CSS入手的攻击目前作防范的很少.
从另一角度来看,设计系统可以在JS设计时考虑利用CSS进行包含和引用.这是很好的一个从JS控制CSS到CSS控制JS的一个反作用.
而深发出一个看法,具体待验证:凡是可以放URL的地方,均可以试试放javascript,可能就能成功!
类似资料: