伪造链接地址的二种方法

最新推荐文章于 2020-11-21 17:43:47 发布
最新推荐文章于 2020-11-21 17:43:47 发布
阅读量8.8k 收藏 6
点赞数 1
分类专栏: javascript 文章标签: 伪造链接地址 xss攻击 mouseup mouseenter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yiifaa/article/details/73701030
版权

在浏览器的涉及中,为了防止链接地址被伪造,浏览器一般会在状态栏显示地址信息,但可惜的是,显示的地址信息是静态的,也就是说,浏览器难以发现地址的动态变化,截图如下:

针对浏览器的这种特性,我们可以很容易伪造出与浏览器状态栏地址信息不同的链接,示例代码如下:

<a href="http://www.sina.com.cn" id="sina">新浪</a>

方法一:利用mouseup事件

通过组合使用mouseup、mouseout事件,利用mouseup与click之间的时间差,改变链接的href属性,从而能在链接触发点击时,导向到伪造的地址。

var a = document.getElementById('sina'),
        href = a.href;
// 注册事件 
a.addEventListener('mouseup', function(event) {
    //  修改为需要导向的地址
    this.href = 'http://blog.youkuaiyun.com/yiifaa';
})
//  抹除设置的属性
a.addEventListener('mouseout', function(event) {
    this.href = href;
})

这里需要强调的是,一定要使用mouseup事件,绝不能使用mouseenter事件,否则露馅。

方法二:截获点击事件

利用事件的冒泡特性,阻止默认事件的发生,即可实现地址的跳转。

var a = document.getElementById('sina');
a.addEventListener('click', function(event) {
    location.href = 'http://blog.youkuaiyun.com/yiifaa';
    event.preventDefault();
});
JavaScript伪装链接地址
生活在爪洼岛上
01-08 413
    &lt;a onmouseover='window.status="http://www.project.com";return true;'     onmouseout='window.status="Done";return true;' href="http://www.project.com?comand=login" target="_blank"&gt;    Link Te...
链接实现方法记录
weixin_33767813的博客
05-03 712
  链接一般作为页面跳转的手段,但是有时候需要使用链接形式,来实现ajax请求(非直接的页面跳转),或者来实现特殊的页面动画效果(点击链接,一段文字展开和收起)。   总结起来有以下三种方法:   1、给href属性设置#,使得页面保持在当前页面, 但是页面位置会跳转到顶部,除非使用锚点跳转到特殊位置。 &lt;a href="#"&gt;click here(#)&lt;/a&...
jQuery教程(四)巧妙的伪装链接
weixin_30807779的博客
06-05 532
今天的教程是草草完成的.我想把一些东西放在这15天的前面简单的讲讲,这样以来就可以使一些js新手不至于被一堆代码搞的晕头转向.事实上我是在即将结尾的时候才做出的这个决定. 目标 我们要使用jQuery去创建一小段代码,这段代码会把一个页面所有的超链接转换并且伪装起来. 为什么? 一些下属经销商认为,一部分用户有足够的悟性发现会员链接,并能尽量避免通过点击URL链接直接进入浏览器,从...
6-假链接
别忘了缩进的博客
03-16 602
链接: 点击不会跳转的链接就是假链接 存在的意义: 当开发前期,没有可供跳转的链接时,使用假链接 来实现初期的效果 格式: 1.# 2.javascript: 区别: 使用#时,点击链接,会自动返回顶部,而javascript不会 实例: 我是假链接 我是假链接
链接
qq_34666547的博客
03-11 1070
链接是指点击a标签后不进行跳转。但是它也分两种:在href中直接写入#:点击a标签是会自动回到当前页面的顶部。在href中写入javascript: 不会回到顶部。...
php 伪造HTTP_REFERER页面URL来源的三种方法
12-18
即当前页面是从哪个页面链接过来的,可以使用$_SERVER[‘HTTP_REFERER’],但是这个来源页面的URL地址是可以被伪造和欺骗的,本文章向大家介绍伪造HTTP_REFERER页面URL的三种方法,需要的朋友可以参考一下。...
php防止伪造数据从地址栏URL提交的方法
12-17
此外,如描述中所提,通过在其他网站创建指向目标URL的超链接,然后点击这些链接,此方法也无法阻止伪造的提交。 因此,单纯依赖HTTP_REFERER检查不足以防御伪造数据的提交。更安全的方式是采用POST请求来传递关键...
php防止伪造的数据从URL提交方法
12-18
另一种方法是在表单提交后重定向到一个新的页面,以中断可能的二次提交。 7. **使用Curl、socket和file_get_contents** PHP的Curl库、socket函数和file_get_contents可以用于模拟POST请求,这在服务器端进行数据...
PHP curl伪造IP地址和header信息代码实例
10-24
总之,本文提供了一种在PHP中使用curl函数库伪造IP地址和HTTP header信息的基本示例,但同时强调了伪造信息的限制和可能遇到的法律风险。开发者在运用这些技术时应遵守相关法律法规,并确保行为的合理性。
asp.net 伪链接实例(完整版)
05-25
一个企业级网站源码,采用access数据库,内容通俗易懂
链接
a72471354的博客
02-12 226
<style type="text/css"> a{ text-decoration: none; color: black; } /*未访问的链接,和a{}相同并且同时存在会覆盖a{}*/ a:link{ color: darkblue; } /*鼠标移动到超链接上时*/ a:hover{ text-d...
11-假链接
majiamin123的博客
09-13 1220
<h1>我是顶部</h1> <br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><...
伪类链接
啊伟的博客
11-21 160
伪类链接 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>实际写法</title> <style> a { color: #333; text-decoration: none; }/* 链接平时的一个状态 */ a:hover { color: skyblue; text-
关于假链接
weixin_33805743的博客
08-27 896
  假链接,其实就是指向当前页面的一个链接,他具有链接的样式,但不会跳转。有时候在写前端页面的时候,没有后台的数据,我们的链接指向就成问题。因为你不知道要指向哪里,这时候就可以给他设置一个假链接,等到后台代码开发出来,再重新改过来。   假链接有两种形式,<a href ="#" ></a>,<a href ="javascript : ">。这两种样式都指向...
链接 a href=“javascript:;”
戈文文的博客
02-09 444
链接伪装成按钮
weixin_30653023的博客
07-07 241
<input type="button" onclick="location.href='http://www.lemongtree.net/';" value="GO"> 转载于:https://www.cnblogs.com/xiaoman_890/archive/2009/07/07/1518471.html
虚拟连接搭建
weixin_51693574的博客
11-18 429
虚拟私人网络V.P.N的搭建 准备工具:windows 2008 server r2 1.初始配置任务中添加角色-----网络策略和访问服务,进行安装。 2.配置并启用路由和远程访问----自定义配置—选择VPN和NAT----完成后启动服务即可。 3. 配置Ipv4—右击NET—新增接口—本地连接—选择公用接口、在此接口启用NET。 4. 点击初始配置处右击—属性—Ipv4—静态地址池添加IP—日志记录选择不记录事件。 5. 在cmd命令环境下创建用户—将创建的用户加入到本地组中—将用
101种提升反向链接策略,SEO必读
"《增加反向连接的101种方法》是一篇由Andy Hagans和...《增加反向连接的101种方法》是一份实用的指南,旨在帮助网站所有者和SEO从业者在不断变化的搜索环境中提升他们的链接策略,确保在可预见的未来维持良好的排名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值