堆栈内存溢出
  繁体   English   中英

在window.open弹出窗口中进行XSS攻击

[英]XSS attack in a window.open popup

 原文  2009-09-22 15:48:21       javascript/ xss

问题描述

我们在交付给客户的iframe中遇到了XSS攻击。 由于iframe的敏感性,我们决定采用Window.open方法。 以下是位于客户空间中的附加JS示例。 任何人都可以启发它如何容易受到XSS攻击 

<p>
<script type="text/javascript">
function invokeVidteqPopup() {
window.open('http://www.vidteq.com/stage/which.php?urlid=cis','Video','status=1,width=800,height=600,scrollbars=0,resizable=1');
}
document.write("<span style='text-align:left;'><a style='font-family:Trebuchet MS,Arial;cursor:pointer;font-size:15px;color:black;border: 0px solid black' onclick=invokeVidteqPopup();>Click For Video Directions</a><span><br/><a href='javascript:void(0);' style='border: 0px solid black' onclick=invokeVidteqPopup(); ><img src='images/sub/vidteq_map.jpg' style='cursor:pointer;border: 0px solid black'/></a>");
</script>
<span style="text-align: left;">
<a onclick="invokeVidteqPopup();" style="border: 0px solid black; font-family: Trebuchet MS,Arial; cursor: pointer; font-size: 15px; color: black;">Click For Video Directions</a>
<span>
<br/>
<a onclick="invokeVidteqPopup();" style="border: 0px solid black;" href="javascript:void(0);">
<img style="border: 0px solid black; cursor: pointer;" src="images/sub/vidteq_map.jpg"/>
</a>
</span>
</span>
</p>

在页面上发现了另一个类似的功能 

function ow(theURL)
    { //v2.0

        window.open(theURL,'h','width=600,HEIGHT=500,screenY=10,left=10,top=10,screenX=10,statusbar=0,menubar=0,resizable=0');
    }

是XSS还是其他恶意内容的结果

1 个解决方案

解决方案1
 0  2009-09-22 15:52:45

只要该打开器不在www.vidteq.com域上,则该弹出窗口中的页面将无法访问该打开器。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 window.open with popup blocker Window.open 作为模态弹出窗口? 重置window.open弹出窗口中的规格 使用 window.open 自定义弹出窗口 window Javascript onbeforeunload 打开 window.open() 弹出窗口 window.open弹出窗口阻止问题 Javascript:每次点击都会弹出window.open 给window.open弹出窗口指定标题 Fire window.open 从警报弹出窗口 Javascript-window.open()弹出大小问题
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM