个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
29
4
我想在图片(png、jpg 或 gif)文件中放置一个 iframe 代码。有可能吗?
我想放置这个 iframe 代码,它正在以 0X0 像素加载网站:
<iframe src="http://test.com" height="0" width="0" frameborder="0" scrolling="no">
</iframe>
我正在阅读这篇描述新漏洞的文章:
http://threatpost.com/png-image-metadata-leading-to-iframe-injections/104047
所以基本上,我想要一个工作示例,当有人访问此图像 url 时,可以以 0X0 像素加载网站。
最佳答案
如果您想创建一个由 <img> 加载的 img 文件,简短的回答是否 HTML 标记,将任意 Javascript 或 HTML 代码插入网站,而无需运行任何其他辅助代码。
但简短的回答是是,如果网站已经有恶意或行为不当的代码会解码有效负载,您可以创建一个 img 文件来执行这些操作。
考虑到任何可点击的 javascript:,文章中的报告不是也不是威胁链接可以包含类似的字符串编码 Material 。
文章中的示例要求网站已经加载了单一用途的 Javascript 帮助程序代码。
我想在这里复制代码,但是发布的链接包含代码图像,而不是文本,我们应该尊重他们 Material 的版权。
该代码的第 24 行从 img 中获取原始数据,第 28-31 行通过 javascript 将 img 数据中的文本有效负载组装为字符串 strData它可能包含一个 HTML iframe 语句,并且可以将它添加到网页中,但在这段代码中,它调用了一个回调(第 34 行)或提醒它(第 49 行),因此看起来更像是一个演示而不是攻击。
虽然它们通常被重定向到垃圾邮件发送者的网站,但此类内容已经存在。
这样的有效载荷可以隐藏在任何长字符串中,并通过各种简单的方式进行编码和解码。
在网站中隐藏 0x0 iframe 听起来像是点击欺诈点击付费广告计划的秘诀,而不是直接欺诈消费者。加载 iframe 时,大多数服务器会将其嵌入的站点显示为引荐来源网址,它看起来类似于链接单击。
关于javascript - 浏览器是否容易通过隐藏在 <img> 数据中的 iframe 加载网页?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22726435/
29
4
0
代码如下: http://jsfiddle.net/t2nite/KCY8g/ 我正在使用 jquery 创建这些隐藏框。 每个框都有一些文本和一个“显示”和“隐藏”按钮。我正在尝试创建一个“显示/隐
我正在尝试做某事。如果单击一个添加 #add-conferance 然后菜单将显示.add-contact。当点击隐藏然后它显示隐藏。我也将 setTimeout 设置为 7sec,但我希望当我的鼠标
我有一个多步骤(多页?)表单,只要用户按下“下一步”或“上一步”按钮,表单字段就会通过 div 显示和隐藏。 我只想禁用第一个 div (div id="page1"class="pageform")
我有一个使用 IIS 6 和 7 的当前系统,用 ASP.NET 和 .NET 4 中的 C# 编写。 My purpose is to hide the url completely (as per
我正在建立一个网站,并有一个幻灯片。幻灯片有标题和索引,覆盖整个页面。当覆盖被激活时,标题需要消失。当覆盖层被停用时,通过单击退出按钮、缩略图链接或菜单链接,字幕必须返回。 这就是我目前所拥有的
我正在尝试为显示/隐藏功能制作简单的 jquery 代码。但我仍然做错了什么。 $(document).ready(function(){ $('.arrow').click(function
我有一个自定义对话框并使用它来代替 optionMenu。所以我希望 myDialog 表现得像菜单,即在按下菜单时显示/隐藏。我尝试了很多变体,但结果相同: 因为我为 myDialog 设置了一个
在我的项目中,我通过 ViewPager 创建我的 tabBar,如下所示: MainActivity.java mViewPager = (ViewPager) findViewById(R.id.
我目前正在使用一个 Excel 表,我将第 1-17 行分组并在单元格 B18 中写入了一个单元格值。我想知道当我在展开/折叠行时单击 +/- 符号时是否有办法更改 B18 中的值。 例如:我希望 B
我想创建一个按钮来使用 VBA 隐藏和取消隐藏特定组。我拥有的代码将隐藏或取消隐藏指定级别中的所有组: Sub Macro1() ActiveSheet.Outline.ShowLevels RowL
我是 VBA 新手。我想隐藏从任何行到工作表末尾的所有行。 我遇到的问题是我不知道如何编程以隐藏最后写入的行。 我使用下一个函数知道最后写入的单元格,但我不知道在哪里放置隐藏函数。 last = Ra
我想根据另一个字段的条件在 UI 上隐藏或更新一个字段。 例如,如果我有一个名为 Color 的字段: [PXUIField(DisplayName="Color")] [PXStringList("
这是我尝试开始收集通常不会遇到的 GCC 特殊功能。这是@jlebedev 在另一个问题中提到g++的“有效C++”选项之后, -Weffc++ This option warns about C++
我开发了一个 Flutter 应用程序,我使用了 ProgressDialog小部件 ( progress_dialog: ^1.2.0 )。首先,我展示了 ProgressDialog小部件和一些代
我需要在 API 17+ 的同一个 Activity(Fragment) 中显示/隐藏状态栏。假设一个按钮将隐藏它,另一个按钮将显示它: 节目: getActivity().getWindow().s
是否可以通过组件的 ts 代码以编程方式控制下拉列表的显示/隐藏(使用 Angular2 清楚)- https://vmware.github.io/clarity/documentation/dro
我想根据 if 函数的结果隐藏/显示 NiceScroll。 在我的html中有三个部分,从左到右逐一滚动。 我的脚本如下: var section2 = $('#section2').offset(
我有这个 jquery 代码: $(document).ready(function(){ //global vars var searchBoxes = $(".box"); var searchB
这个问题已经有答案了: Does something like jQuery.toggle(boolean) exist? (5 个回答) 已关闭 6 年前。 在 jQuery 中(我当前使用的是 1
我在这样的选择标签上使用 jQuery 的 selectMenu。 $('#ddlReport').selectmenu() 在某些情况下我想隐藏它,但我不知道如何隐藏。 这不起作用: $('#ddl
我是一名优秀的程序员,十分优秀!