用XSS来装饰校内网页面

发布时间：2007-10-31 11:39:14　

---

用XSS来装饰校内网页面
今天偷看葱葱的 mail时发现其竟破天荒地申请了一个校内网帐号-_-,为了在葱葱面前好好表现,偶决定将偶那接近荒废的地盘稍稍梳妆打扮一番~
用CSS将几个多余的板块display: none之后,发现涂鸦板没能防得住N种可能性的XSS,最起码可以用
<STYLE>
@im\port'\ja\vasc\ript:alert("XSS")';
</STYLE>
<DIV STYLE="width: expression(alert('XSS'));">
两种方法突破对script的防范~
不过用起来有点麻烦,而且会产生意料之外的效果(还有IE依赖),只用来美化了下留言的标题,也算是XSS做了件好事;-)