这篇博客探讨了如何使用CSS调用JavaScript代码,揭示了CSS跨站的概念。通过CSS的expression属性,可以在浏览器中根据JavaScript表达式动态计算CSS属性。文章提醒,这种技术可能带来安全风险,同时提供了便利的代码示例,如动态定位元素和消除链接虚线框。然而,由于expression对浏览器资源消耗较大,通常不推荐广泛使用。
我们现在可以使用CSS来调用我们的JS程序。
这个技术也是网络安全里的,叫做CSS跨站。
我们知道CSS里是可以控制某些HTML元素的属性的,譬如background-image等等,而在URL里添加Javascript:alert()等等类似的代码就可以用来执行代码。
我用的CSS代码如下:
将这段代码随意插入到任何页面中都会执行其中的JS代码.
显然这开启了针对很多对于CSS具备自由编辑功能的很多BSP(BLOG服务提供商)的攻击思路,而对CSS入手的攻击目前作防范的很少.
从另一角度来看,设计系统可以在JS设计时考虑利用CSS进行包含和引用.这是很好的一个从JS控制CSS到CSS控制JS的一个反作用.
而深发出一个看法,具体待验证:凡是可以放URL的地方,均可以试试放javascript,可能就能成功!
关键字:css调用javascript 代码 css调用js代码
CSS中expression使用简介
定义
IE5及其以后版本支持在CSS中使用expression,用来把CSS属性和Javas cript表达式关联起来,这里的CSS属性可以是元素固有的属性,也可以是自定义属性。就是说CSS属性后面可以是一段Javas cript表达式,CSS属性的值等于Javas cript表达式计算的结果。
这个技术也是网络安全里的,叫做CSS跨站。
我们知道CSS里是可以控制某些HTML元素的属性的,譬如background-image等等,而在URL里添加Javascript:alert()等等类似的代码就可以用来执行代码。
我用的CSS代码如下:
<style type="text/css">
body{
height:200px;
background:url(javascript:alert("上帝来了!"));
}
将这段代码随意插入到任何页面中都会执行其中的JS代码.
显然这开启了针对很多对于CSS具备自由编辑功能的很多BSP(BLOG服务提供商)的攻击思路,而对CSS入手的攻击目前作防范的很少.
从另一角度来看,设计系统可以在JS设计时考虑利用CSS进行包含和引用.这是很好的一个从JS控制CSS到CSS控制JS的一个反作用.
而深发出一个看法,具体待验证:凡是可以放URL的地方,均可以试试放javascript,可能就能成功!
关键字:css调用javascript 代码 css调用js代码
CSS中expression使用简介
定义
IE5及其以后版本支持在CSS中使用expression,用来把CSS属性和Javas cript表达式关联起来,这里的CSS属性可以是元素固有的属性,也可以是自定义属性。就是说CSS属性后面可以是一段Javas cript表达式,CSS属性的值等于Javas cript表达式计算的结果。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
