星期一, 十二月 04, 2006

META refresh阻击战

专注于XSS领域的安全专家Jeremiah Grossman找到了一种方法,可以阻拦利用<Meta http-equiv="refresh" content="5;url=http://blablabla">通风报信的网页。
<* link rel="stylesheet" type="text/css" href="http://192.168.1.100/" />

Grossman发现,如果Link还在等待http请求,Meta在link请求解决之前,是不会开动的。不过,这是不是可以用在更加恶意的用途上呢?

没有评论: