近看了百度空间关于JS破坏漏洞的文章,CSDN上有比较详细的介绍:
http://news.csdn.net/n/20060725/92944.html

发现在CSS中居然可以调用JAVASCRIPT代码,这是以前从未注意到的地方!
主要原理是在CSS中通过设置背景对象的url属性来加入JS代码:类似如下:



将这段代码随意插入到任何页面中都会执行其中的JS代码.

显然这开启了针对很多对于CSS具备自由编辑功能的很多BSP(BLOG服务提供商)的攻击思路,而对CSS入手的攻击目前作防范的很少.

从另一角度来看,设计系统可以在JS设计时考虑利用CSS进行包含和引用.这是很好的一个从JS控制CSS到CSS控制JS的一个反作用.

上一篇: 用JS显示页面所有图片
下一篇: 调用外部SWF简单方法图解
文章来自: 天牢囚犯's BLOG
引用通告: 查看所有引用 | 我要引用此文章
Tags:
最新日志: