`
littcai
  • 浏览: 248215 次
  • 性别: Icon_minigender_1
  • 来自: 无锡
社区版块
存档分类
最新评论

跨域攻击

脚本JavaScriptCSS浏览器 
阅读更多

今天在okajax看到一种跨域攻击方式,有点意思,代码节选如下:

 

#header{height:89px;background:url("javascript:document.body.onload = function()
	{ 
                         dosomething();
                })
}

其原理是在CSS文件中通过URL的漏洞插入攻击脚本。实现变态,除非网站屏蔽脚本功能了 ,要对输入内容作严格检查和过滤

分享到:
| iframe中背景图片设为no-repeat引发的异常
评论
2 楼 littcai 2010-01-25  
jessige_27 写道
LZ试过么 怎么没效果?


本机测试。
没效果可能是浏览器问题
1 楼 jessige_27 2010-01-21  
LZ试过么 怎么没效果?
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    XSS跨域攻击讲义

    ### XSS跨域攻击知识点详解 #### 一、XSS攻击概览 - **定义与起源**:跨站脚本(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,最早出现于1996年。XSS攻击利用的是网站对用户输入数据过滤不严...

    XSS跨域攻击在web项目中的防范,基于antisamy技术

    以下是对XSS跨域攻击防范和antisamy技术的详细阐述: 1. XSS类型: - 存储型XSS:恶意脚本被存储在服务器上,然后在其他用户访问相关页面时执行。 - 反射型XSS:恶意脚本通过URL参数传递,当用户点击链接或在地址...

    Android移动应用跨域攻击检测.pdf

    "Android移动应用跨域攻击检测" Android移动应用跨域攻击检测是指在Android平台上检测WebView组件中的跨域攻击漏洞。WebView组件是一个特殊的View,它基于webkit引擎来展现web页面的控件,可以作为移动应用内置的一...

    flash跨域策略文件crossdomain.xml配置详解以及防范措施.docx

    全的配置,应避免使用]2)以星...正确配置 crossdomain.xml 可以确保数据的安全传输,防止恶意跨域攻击。然而,配置不当可能导致敏感信息泄露或被利用,因此在设置时务必谨慎,遵循最佳实践,以保护网站和用户的安全。

    cors跨域Tomcat文件

    1. **安全性**:启用CORS可能导致跨域攻击,因此应谨慎设置允许的源和方法。 2. **浏览器兼容性**:虽然大多数现代浏览器都支持CORS,但老版本的浏览器可能不支持,需要考虑兼容性问题。 3. **调试**:利用开发者...

    tomcat服务器跨域需要的CorsFilter jar包文件

    但要注意,CORS并非万能解决方案,对于安全性要求高的应用,还需要结合其他安全措施,如JWT令牌验证,以防止跨域攻击。 总结来说,解决Tomcat服务器的跨域问题,关键在于理解CORS机制和配置CorsFilter。这个过程...

    跨域 SSO 原理与技术

    1. **跨域攻击**:恶意攻击者可能会利用SSO的特性,尝试窃取或伪造认证令牌,从而获取未授权的访问权限。 2. **单点故障**:如果IDP出现问题,可能导致所有关联的SP都无法进行正常的身份验证。 3. **隐私保护**:SSO...

    jsp防止跨域提交数据的具体实现.docx

    - 跨域攻击可能导致数据泄露或被篡改,甚至可能导致整个系统的安全性受损。 #### JSP中的跨域防护实现 本文提供的案例展示了通过编写自定义过滤器`ArgsIsValidFilter`来实现跨域检查的一种方法。此过滤器主要用于...

    一种改进的CDP快照方法.pdf

    【标签】:“安全运营”、“网络安全”、“跨域攻击”、“大数据”、“安全管理” 正文: CDP(Continuous Data Protection,持续数据保护)是一种先进的数据备份和恢复技术,它通过实时地记录和存储数据变化来...

    web站点攻击防御

    Web站点攻击防御是网络安全的重要组成部分,它涉及到保护网站免受各种恶意攻击,如跨域攻击、钓鱼行为等。跨域攻击通常指的是攻击者利用浏览器的同源策略漏洞,尝试从一个域名窃取信息并发送到另一个不受信任的域名...

    Web渗透笔记.pdf

    本资源摘要信息为 Web 渗透笔记.pdf 的知识点总结,涵盖了 Web 渗透测试的整个过程,包括信息收集、漏洞利用、权限提升、权限维持、内网代理、内网收集、内网漏洞、横向移动、跨域攻击等方面。 信息收集 信息收集...

    jquery跨域调用 js跨域调用

    跨域调用虽然方便,但也增加了安全风险,比如XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。因此,开发者在使用跨域调用时应谨慎处理数据,确保只从可信的源获取信息,并采取适当的防护措施。同时,跨域请求可能增加...

    crossdomain-exploitation-framework-源码.rar

    这两个技术常用于实现跨域数据交互,但不恰当的使用可能导致跨域攻击。 4. **跨域请求伪造(CSRF)检测**:框架会尝试利用CSRF漏洞,发送伪造的跨域请求,以此来测试目标站点的防护能力。CSRF攻击能迫使用户在不...

    Java服务器端跨域问题解决方案

    Java服务器端跨域问题解决方案 Java 服务器端跨域问题解决方案是指在 Java 服务器端...3. 需要注意安全问题,防止跨域攻击。 解决跨域问题需要在服务器端和客户端同时进行处理,使用相应的技术和方法来实现跨域请求。

    ajax跨域请求WebService.asmx

    因此,务必确保在实现跨域时对请求进行适当的验证和过滤,以防止恶意攻击。 总结,Ajax跨域请求WebService.asmx是一个结合了前端JavaScript异步请求技术和后端C# Web服务交互的实例,它涉及到了跨域策略、HTTP通信...

    你可能不知道的CORS跨域资源共享

    但像链接、重定向和表单提交等不受同源策略的限制,这为跨域攻击提供了可能,如XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。 为了解决这些问题并支持安全的跨域访问,出现了各种跨域解决方案。JSONP(JSON with ...

    SignalR跨域

    只允许特定的、可信的源访问 SignalR 服务,以防止潜在的安全攻击。 总结,SignalR 跨域是 Web 实时通信中的关键技术,通过合理的服务器和客户端配置,我们可以充分利用 SignalR 实现高效、安全的跨域通信。在开发...

    JQuery跨域访问解决方案

    然而,由于JSONP的本质是脚本注入,它可能会带来安全风险,如XSS攻击,因此在使用时需要谨慎处理服务器返回的数据。同时,对于需要POST请求或者更高级的跨域功能,开发者需要考虑其他技术,如CORS。

    信息安全技术:文件上传漏洞防御编程.pptx

    采取这种方式,利用浏览器的同源策略,可以防止跨域访问,比如阻止攻击者上传crossdomain.xml文件进行跨域攻击,以及包含JavaScript的XSS攻击等。 5. **过滤特殊文件名和扩展名** 对于如shell.php.rar.rar这样的...

    前端后端跨域问题

    - **浏览器限制**:现代浏览器为了防止恶意攻击和保护用户隐私,默认实施了同源策略。 - **不同源定义**:当请求的源(域名、端口、协议、IP)与当前页面不一致时,就会触发跨域问题。 - **XMLHttpRequest对象**:在...

Magicbox
Global site tag (gtag.js) - Google Analytics