`
littcai
  • 浏览: 249980 次
  • 性别: Icon_minigender_1
  • 来自: 无锡
社区版块
存档分类
最新评论

跨域攻击

脚本JavaScriptCSS浏览器 
阅读更多

今天在okajax看到一种跨域攻击方式,有点意思,代码节选如下:

 

#header{height:89px;background:url("javascript:document.body.onload = function()
	{ 
                         dosomething();
                })
}

其原理是在CSS文件中通过URL的漏洞插入攻击脚本。实现变态,除非网站屏蔽脚本功能了 ,要对输入内容作严格检查和过滤

分享到:
| iframe中背景图片设为no-repeat引发的异常
评论
2 楼 littcai 2010-01-25  
jessige_27 写道
LZ试过么 怎么没效果?


本机测试。
没效果可能是浏览器问题
1 楼 jessige_27 2010-01-21  
LZ试过么 怎么没效果?
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    XSS跨域攻击讲义

    ### XSS跨域攻击知识点详解 #### 一、XSS攻击概览 - **定义与起源**:跨站脚本(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,最早出现于1996年。XSS攻击利用的是网站对用户输入数据过滤不严...

    XSS跨域攻击在web项目中的防范,基于antisamy技术

    以下是对XSS跨域攻击防范和antisamy技术的详细阐述: 1. XSS类型: - 存储型XSS:恶意脚本被存储在服务器上,然后在其他用户访问相关页面时执行。 - 反射型XSS:恶意脚本通过URL参数传递,当用户点击链接或在地址...

    Android移动应用跨域攻击检测.pdf

    "Android移动应用跨域攻击检测" Android移动应用跨域攻击检测是指在Android平台上检测WebView组件中的跨域攻击漏洞。WebView组件是一个特殊的View,它基于webkit引擎来展现web页面的控件,可以作为移动应用内置的一...

    flash跨域策略文件crossdomain.xml配置详解以及防范措施.docx

    全的配置,应避免使用]2)以星...正确配置 crossdomain.xml 可以确保数据的安全传输,防止恶意跨域攻击。然而,配置不当可能导致敏感信息泄露或被利用,因此在设置时务必谨慎,遵循最佳实践,以保护网站和用户的安全。

    cors跨域Tomcat文件

    1. **安全性**:启用CORS可能导致跨域攻击,因此应谨慎设置允许的源和方法。 2. **浏览器兼容性**:虽然大多数现代浏览器都支持CORS,但老版本的浏览器可能不支持,需要考虑兼容性问题。 3. **调试**:利用开发者...

    基于概率攻击图的工控系统跨域动态安全风险分析方法_浦珺妍 (1).pdf

    然后通过自动生成的跨域攻击图,将漏洞的基本属性和威胁的时变特点纳入风险传播概率的计算过程中,进而实现了对工控系统跨域动态安全风险的定量分析。 概率攻击图是评估网络系统安全性的有效工具,它能够清晰地描述...

    tomcat服务器跨域需要的CorsFilter jar包文件

    但要注意,CORS并非万能解决方案,对于安全性要求高的应用,还需要结合其他安全措施,如JWT令牌验证,以防止跨域攻击。 总结来说,解决Tomcat服务器的跨域问题,关键在于理解CORS机制和配置CorsFilter。这个过程...

    跨域 SSO 原理与技术

    1. **跨域攻击**:恶意攻击者可能会利用SSO的特性,尝试窃取或伪造认证令牌,从而获取未授权的访问权限。 2. **单点故障**:如果IDP出现问题,可能导致所有关联的SP都无法进行正常的身份验证。 3. **隐私保护**:SSO...

    jsp防止跨域提交数据的具体实现.docx

    - 跨域攻击可能导致数据泄露或被篡改,甚至可能导致整个系统的安全性受损。 #### JSP中的跨域防护实现 本文提供的案例展示了通过编写自定义过滤器`ArgsIsValidFilter`来实现跨域检查的一种方法。此过滤器主要用于...

    一种改进的CDP快照方法.pdf

    【标签】:“安全运营”、“网络安全”、“跨域攻击”、“大数据”、“安全管理” 正文: CDP(Continuous Data Protection,持续数据保护)是一种先进的数据备份和恢复技术,它通过实时地记录和存储数据变化来...

    web站点攻击防御

    Web站点攻击防御是网络安全的重要组成部分,它涉及到保护网站免受各种恶意攻击,如跨域攻击、钓鱼行为等。跨域攻击通常指的是攻击者利用浏览器的同源策略漏洞,尝试从一个域名窃取信息并发送到另一个不受信任的域名...

    Web渗透笔记.pdf

    本资源摘要信息为 Web 渗透笔记.pdf 的知识点总结,涵盖了 Web 渗透测试的整个过程,包括信息收集、漏洞利用、权限提升、权限维持、内网代理、内网收集、内网漏洞、横向移动、跨域攻击等方面。 信息收集 信息收集...

    chrome浏览器跨域插件

    其次,它们可能会造成安全风险,因为代理服务器可能成为潜在的攻击面。因此,了解和正确使用这些工具,同时在开发完成后寻找更为合适的跨域解决方案,对于一个专业开发者来说是非常重要的。 对于chrome浏览器跨域...

    jquery跨域调用 js跨域调用

    跨域调用虽然方便,但也增加了安全风险,比如XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。因此,开发者在使用跨域调用时应谨慎处理数据,确保只从可信的源获取信息,并采取适当的防护措施。同时,跨域请求可能增加...

    crossdomain-exploitation-framework-源码.rar

    这两个技术常用于实现跨域数据交互,但不恰当的使用可能导致跨域攻击。 4. **跨域请求伪造(CSRF)检测**:框架会尝试利用CSRF漏洞,发送伪造的跨域请求,以此来测试目标站点的防护能力。CSRF攻击能迫使用户在不...

    Java服务器端跨域问题解决方案

    Java服务器端跨域问题解决方案 Java 服务器端跨域问题解决方案是指在 Java 服务器端...3. 需要注意安全问题,防止跨域攻击。 解决跨域问题需要在服务器端和客户端同时进行处理,使用相应的技术和方法来实现跨域请求。

    《内网安全攻防-渗透测试实战指南》.zip

    书中内容涵盖从内网渗透测试的基础知识,如信息搜集、到具体的技术应用,例如隐藏通信隧道技术,再到高级的攻击策略,包括权限提升、域内横向移动、域控制器安全、跨域攻击以及权限维持等。 第1章内网渗透测试基础...

    ajax跨域请求WebService.asmx

    因此,务必确保在实现跨域时对请求进行适当的验证和过滤,以防止恶意攻击。 总结,Ajax跨域请求WebService.asmx是一个结合了前端JavaScript异步请求技术和后端C# Web服务交互的实例,它涉及到了跨域策略、HTTP通信...

    《内网安全攻防-渗透测试实战指南》这本书的阅读笔记 .zip

    这两章主要探讨的是域控制器的安全性和跨域攻击的问题。域控制器是内网的核心,攻击者若能控制域控制器,则可以对内网进行几乎完全的控制。因此,这部分内容是内网安全攻防中非常关键的环节。 最后,"资源内容.txt...

    你可能不知道的CORS跨域资源共享

    但像链接、重定向和表单提交等不受同源策略的限制,这为跨域攻击提供了可能,如XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。 为了解决这些问题并支持安全的跨域访问,出现了各种跨域解决方案。JSONP(JSON with ...

Magicbox
Global site tag (gtag.js) - Google Analytics