杭州交通信息网很纯很暧昧加料版全集:为何百度空间css设置中我插入一段javascript代码后.保存无反应?
来源:百度文库 编辑:杭州交通信息网 时间:2024/04/30 00:28:02
我插入一段javascript代码后.预览可以看到.但保存后就没了.而且我再行设置时.发现css设置不保存javascript这个字段..也就是不能出现javascript这几个字..但我看到好多人还可以用到javascript.不知道大家现在都是不是这个样子..如何解决这个问题?
我会啦
你把javascript写成
j
avascript
就行啦(就是分行写)
我刚刚学会滴,拿出来和大家共享~~~
修复后:另外,自定义CSS模块还有另外一个脚本注入漏洞:系统把CSS内容显示在一个文本框(textarea)中,如果CSS文本中包含"</textarea>"字串,那么系统会把它错误的认为是textarea结束标记,而"</textarea>"以后的CSS内容则被当作HTML代码处理。比如下面的CSS定义,
#header {</textarea><script>alert('script injected');</script>
系统在显示CSS内容时,脚本将会被执行。这个漏洞的危害程度不大,因为用户自己是不会把CSS写成这个样子的,而且访问者在浏览用户页面时脚本也不会执行。但是,上文已经提到,目前的补丁还不能完全解决javascript和expression的过滤问题,所以恶意代码仍然有机会修改用户的CSS。如果CSS开头被改成下面这个样子,那么用户将无法通过百度空间系统恢复他原来的CSS,
#header {</textarea><script>window.location.href='http://hi.baidu.com';</script>
以上修复答案是粘贴的别人回答的。