本文介绍了一种利用SVG格式文件中的恶意JavaScript代码进行攻击的方法。该恶意代码试图在用户浏览SVG文件时打开一个不受信任的链接。文章详细解析了此攻击手段的具体实现方式,并探讨了可能的防御措施。
<svg>
<script type="text/javascript">
<![CDATA[
var xlinkNS = "http://www.w3.org/1999/xlink";
var someLinks = "http://dotnet.aspx.cc";
function OpenNewWindow()
{
try
{
window.open(someLinks);
}
catch (er)
{
browserEval("window.open('" + someLinks + "')");
}
}
function alternativeOpenWindow(evt,url)
{
evt.target.parentNode.setAttributeNS(xlinkNS,"href",url);
}
]]>
</script>
<g id="moreAlarmG" onclick="OpenNewWindow()" ><text x="160" y="14">Open Window</text></g>
</svg>
<script type="text/javascript">
<![CDATA[
var xlinkNS = "http://www.w3.org/1999/xlink";
var someLinks = "http://dotnet.aspx.cc";
function OpenNewWindow()
{
try
{
window.open(someLinks);
}
catch (er)
{
browserEval("window.open('" + someLinks + "')");
}
}
function alternativeOpenWindow(evt,url)
{
evt.target.parentNode.setAttributeNS(xlinkNS,"href",url);
}
]]>
</script>
<g id="moreAlarmG" onclick="OpenNewWindow()" ><text x="160" y="14">Open Window</text></g>
</svg>
扫一扫
6565
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
