`
littcai
  • 浏览: 245530 次
  • 性别: Icon_minigender_1
  • 来自: 无锡
社区版块
存档分类
最新评论

跨域攻击

脚本JavaScriptCSS浏览器 
阅读更多

今天在okajax看到一种跨域攻击方式,有点意思,代码节选如下:

 

#header{height:89px;background:url("javascript:document.body.onload = function()
	{ 
                         dosomething();
                })
}

其原理是在CSS文件中通过URL的漏洞插入攻击脚本。实现变态,除非网站屏蔽脚本功能了 ,要对输入内容作严格检查和过滤

分享到:
| iframe中背景图片设为no-repeat引发的异常
评论
2 楼 littcai 2010-01-25  
jessige_27 写道
LZ试过么 怎么没效果?


本机测试。
没效果可能是浏览器问题
1 楼 jessige_27 2010-01-21  
LZ试过么 怎么没效果?
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    XSS跨域攻击讲义

    网络安全 XSS跨域攻击 JS注入 互联网安全

    XSS跨域攻击在web项目中的防范,基于antisamy技术

    介绍了XSS跨域攻击在web项目中的防范,基于antisamy技术。

    Android移动应用跨域攻击检测.pdf

    Android移动应用跨域攻击检测.pdf

    (带教程)商业版SEO关键词按天计费系统:关键词排名优化、代理服务、手机自适应及搭建教程

    1、将源码上传到网站根目录,设置PHP版本为7.0,并将运行目录设置为public,取消防跨域攻击的设置。 2、使用宝塔面板中的数据库管理工具导入数据库文件。 3、修改数据库连接文件/app/database.php。 4、按照教程修改...

    web站点攻击防御

    web站点攻击防御,防止跨域攻击,钓鱼行为等等。仅供参考,学习

    补丁DD8.0-121120-12年11月20日

    优化跨域攻击判断 优化后台幻灯片栏目设置,方便二次开发 优化第三方登陆图标显示格式化 优化后台会员等级和返现比例设置,防止出现因设置不当造成的错误 优化首页淘宝图片显示方式(大家都在省和宝贝分享) 修复...

    XSS跨域站点攻击antisamy解决策略文件

    包含常用策略xml文件:antisamy-slashdot-1.4.4.xml、antisamy-ebay-1.4.4.xml、antisamy-anythinggoes-1.4.4.xml、antisamy-tinymce-1.4.4.xml

    跨域资源那些事.pdf

    主要讲解在跨域获取资源中,程序开发者在开发过程中可能导致疏忽而引起的跨域安全问题导致的隐藏攻击面,主要介绍Flash,CORS等跨域获取资源中一些攻击方法和修复及防御 目录 主流跨域方式 跨域方式的安全性 FLASH跨域...

    基于可变Cookie的跨域单点登录

    针对单点登录中的跨域身份认证问题,提出了一种基于可变Cookie的方案解决跨域单点登录,使用随机数字...通过对票据产生和传输以及Cookie加密和常见攻击的安全性分析,可以实现跨域单点登录的功能并保证身份认证安全可信。

    关于python 跨域处理方式详解

    因为浏览器的同源策略限制,不是同源的脚本不能操作其他源下面的资源,想操作另一个源下面的资源就属于跨域了,这里说的跨域是广义跨域,我们常说的代码中请求跨域,是狭义的跨域,即在脚本代码中向非同源域发送http...

    论文研究-基于无证书的两方跨域认证密钥协商协议.pdf

    该协议解决了传统的基于身份的跨域两方密钥协商协议中固有的密钥托管问题,实现了跨域通信双方的身份验证,防止了主动攻击。在保证协议正确性的基础上,采用应用Pi演算对协议进行形式化分析,并验证了协议的认证性和...

    Nginx跨域访问场景配置和防盗链详解

    跨域访问控制 跨域访问 为什么浏览器禁止跨域访问 不安全,容易出现CSRF攻击! 如果黑客控制的网站B在响应头里添加了让客户端去访问网站A的恶意信息,就会出现CSRF攻击 Nginx如何配置跨域访问 add_header语法 ...

    论文研究-基于自验证公钥的跨域口令认证密钥协商协议.pdf

    结合自验证公钥密码学和口令构造了一个用户可以直接通信的跨域口令认证密钥协商协议。域服务器通过口令认证实现对域内...与同类协议相比, 该协议需要较小的计算和通信代价, 并能抵抗字典攻击和未知会话密钥共享攻击。

    Django+vue跨域问题解决的详细步骤

    同源策略/SOP(Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指”协议+域名+端口”三...

    九种跨域方式实现原理

    同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指”协议+域名+端口”三者相同,即便两个不同的域名指向同一个ip地址,也非同源。同源...

    vue解决跨域问题(推荐)

    跨域问题的出现是因为浏览器的同源策略问题,所谓同源:就是两个页面具有相同的协议(protocol),主机(host)和端口号(port),它是浏览器最核心也是最基本的功能,如果没有同源策略我们的浏览器将会十分的不安全...

    CNCERT 2018年1月我国DDoS攻击资源分析报告

    由于反射攻击发起流量需要伪造IP地址,因此反射攻击流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。由于反射攻击形式特殊,本报告将反射攻击流量来源路由器单独统计。 5、 跨域伪造...

    这是一个对文件存储、 JDK8日期,分布式锁、分布式限流、跨域请求,国际化、防XSS攻击、关键字脱敏的增强包,拥有良好的扩展性

    这是一个对文件存储、 JDK8日期,分布式锁、分布式限流、跨域请求,国际化、防XSS攻击、关键字脱敏的增强包,拥有良好的扩展性,一切功能都是基于注解化驱动

    基于CORS实现WebApi Ajax 跨域请求解决方法

    但是在使用API的时候总会遇到跨域请求的问题,特别各种APP万花齐放的今天,API的跨域请求是不能避免的。 在默认情况下,为了防止CSRF跨站的伪造攻击(或者是 javascript的同源策略(Same-Origin Policy)),一个网页...

Magicbox
Global site tag (gtag.js) - Google Analytics