如何调用一个远程 js callback 并让浏览器不发送 referer?
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-06-17 17:36
rt?
调用远程js或callback时浏览器默认会发送当前页面地址(HTTP头中referer)。
求解如何调用并且使浏览器不发送来路信息呢?
相关讨论:
1#
/fd (madafaka #swag #yolo) | 2014-06-17 17:44
iframe 下 about:blank origin
2#
过客 | 2014-06-17 18:19
老问题了,之前讨论过的。http://zone.wooyun.org/content/744
3#
/fd (madafaka #swag #yolo) | 2014-06-17 19:16
但注意新的RFC HTTP/1.1协议會区别about:blank
4#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-06-18 08:46
@/fd 求例子~
5#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-06-18 08:47
@过客 三克斯,寡人去看看。
6#
xsjswt | 2014-06-18 10:05
7#
超威蓝猫 () | 2014-06-18 13:01
@xsjswt 这..有浏览器限制吗?
一个测试可用的例子:
";
var i = document.createElement("iframe");
i.src = "javascript:parent.img;";
i.id = "frameImg" + Math.random();
//i.scrolling = "no";
//i.setAttribute("frameborder", "0", 0);
//i.style.width = "0px";
//i.style.height = "0px";
//i.style.display = none;
document.body.appendChild(i);
json hijack如何丢掉referer
请叫我大神 | 2012-08-08 01:37
这种的攻击,如果http://www.xxx.com/xxx.cgi?callback=func 之针对referer 为 xxx.com域或者referer为空的才能出数据。如何绕过?
目前已知的是用一些跨协议的方法,比如https等,有更好的方法么?
相关讨论:
1#
蟋蟀哥哥 (?????????????????????????) | 2012-08-08 01:54
自己javascript构造get或post试试呢
2#
piao2010 | 2012-08-08 09:41
Ajax是不行的,再往底层一点去,据说WinHttp可以。
3#
piao2010 | 2012-08-08 09:45
另外再引入一个脚本(语言任意,能构造HTTP请求即可),把相关参数传入,构造的HTTP请求里字段就随便玩了。
4#
xsser (十根阳具有长短!!) | 2012-08-08 10:05
必须浏览器里一层找到方法 好像没有特别好的 用media player?
5#
Sogili (.) 长短短 (.) | 2012-08-08 10:19
http://jsbin.com/eduyid/
不过IE不支持:(
6#
请叫我大神 | 2012-08-08 11:25
@Sogili 是啊,就是想找个通用的方法
7#
gainover (">_
文章来源于lcx.cc:如何调用一个远程 js callback 并让浏览器不发送 referer?json hijack
请问什么叫xss盲打? khjian | 2013-11-02 13:27 xss小白,老听人讲xss盲打,是什么意思啊?大牛给科普一下呗,谢谢了 [原文地址] 相关内容: 1# 小胖子 (我承认,我爱过VIP,我仅仅是爱过,因为他死了。) | 2013-11…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论