我们在iframe中遇到了XSS攻击,我们将其发送给客户。由于iframe的敏感性,我们决定采用Window.open方法。下面是一个连接JS的示例,它位于客户的空间中。任何人都可以启发它如何容易受到XSS的攻击
<p>
<script type="text/javascript">
function invokeVidteqPopup() {
window.open('http://www.vidteq.com/stage/which.php?urlid=cis','Video','status=1,width=800,height=600,scrollbars=0,resizable=1');
}
document.write("<span style='text-align:left;'><a style='font-family:Trebuchet MS,Arial;cursor:pointer;font-size:15px;color:black;border: 0px solid black' onclick=invokeVidteqPopup();>Click For Video Directions</a><span><br/><a href='javascript:void(0);' style='border: 0px solid black' onclick=invokeVidteqPopup(); ><img src='images/sub/vidteq_map.jpg' style='cursor:pointer;border: 0px solid black'/></a>");
</script>
<span style="text-align: left;">
<a onclick="invokeVidteqPopup();" style="border: 0px solid black; font-family: Trebuchet MS,Arial; cursor: pointer; font-size: 15px; color: black;">Click For Video Directions</a>
<span>
<br/>
<a onclick="invokeVidteqPopup();" style="border: 0px solid black;" href="javascript:void(0);">
<img style="border: 0px solid black; cursor: pointer;" src="images/sub/vidteq_map.jpg"/>
</a>
</span>
</span>
</p>
在页面上注入了另外一个类似的功能
function ow(theURL)
{ //v2.0
window.open(theURL,'h','width=600,HEIGHT=500,screenY=10,left=10,top=10,screenX=10,statusbar=0,menubar=0,resizable=0');
}
是XSS还是其他一些恶意内容的后果
答案 0 :(得分:0)
只要开启者不在www.vidteq.com
域中,弹出窗口内的页面将无法访问开启者。