不安全的js写法
作者:Fdream 来源:Fdream博客 时间:2009-09-16 14:26:00
一种很常见的写法:
document.write('<scr'+'ipt src="http://a.com/b.js" type="text/javascript"></scr'+'ipt>');
直到被杀毒软件提示有恶意代码才发现这也是不安全的,汗……
那就只好改成这样了:
(function() {
var s = document.createElement('script');
s.type = 'text/javascript';
s.src = 'http://a.com.cn/b.js';
document.getElementsByTagName('head')[0].appendChild(s);
})();
搜了一下,原来还有“ * ”的eval,具体可以看这里:网马解密大讲堂——网马解密中级篇(Document.write篇)。
标签:javascript,ajax
0
投稿
猜你喜欢
详细介绍ASP内置对象Response
2008-06-23 12:42:00
asp导出CSV格式数据
2008-12-24 21:25:00
如何列出SQL数据库中的存储过程?
2010-01-12 19:58:00
IE与Firefox的CSS兼容大全
2008-01-31 15:36:00
Dreamweaver快捷键大全
2007-11-05 14:08:00
统计热门文章的算法
2008-03-16 15:40:00
asp中常用的字符串安全处理函数集合(过滤特殊字符等)
2011-02-20 10:40:00
学习 YUI3 中的沙箱机制
2010-04-12 12:52:00
纯CSS圆角框2-透明圆角化背景图片
2009-12-11 19:10:00
asp中文件与文件夹常用处理函数(文件后缀、创建文件等)
2011-02-20 11:00:00
css彩色虚线表格及JS鼠标指向单元格变色制作方法
2007-08-10 13:08:00
Div的浮动+循环(描述的不清楚,请看图)
2008-09-22 20:21:00
小议JavaScript泛式框架架构的逻辑形式
2010-07-02 12:55:00
在XPath查询中指定轴(转自MSSQL手册)
2008-09-04 14:23:00
sqlserver合并DataTable并排除重复数据的通用方法分享
2012-01-05 18:59:56
asp我对后台安全的一些做法
2011-09-01 19:22:09
详解new function(){}和function(){}()
2008-02-28 12:28:00
利用FrontPage 2003制作网络申请系统
2008-02-21 14:34:00
CSS改变字体而不影响网页
2010-10-20 20:11:00
Asp包含文件include动态包含方法(含变量)
2010-01-14 20:12:00