与同源策略无关. 认真细看javascript语法便可. like this: <SCRIPT>alert(/XSS/.source)</SCRIPT>
2009/9/8 X4ng <[email protected]> > 近期在看一些WEB安全模型的文章,在看到同源策略时,有一处测试代码: > > <iframe height=500 width=800 src="http://172.25.64.27:8080/1.jpg"; > onload="frames[0].document.body.innerHTML+='<img src=x > onerror=alert(1)>'"></iframe> > > 当然以上代码我根据自己搭建的环境进行了修改,可是alert()就是不执行,截入页面成功。 > > 但是改为如下代码后,alert()就可以执行: > > <iframe height=500 width=800 src="http://172.25.64.27:8080/1.jpg"; > onload="frames[0].document.body.innerHTML+='<img src=x > onerror=alert(/1/)>'"></iframe> > > 就是alert(1)变为alert(/1/)就可以执行,我是看些XSS文章改的,不知道alert(1)与alert(/1/)有什么区别,请大家指点。 > -- > 世之奇伟 > 瑰怪 > 非常之观 > 常在于险远 > 而人之所罕至焉 > 故非有志者不能至也 > msn:[email protected] <msn%[email protected]> > mail:[email protected] <mail%[email protected]> > > > > --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [email protected] -~----------~----~----~----~------~----~------~--~---
![http://172.25.64.27:8080/1.jpg"](http://172.25.64.27:8080/1.jpg"){kind=link}