Chinaunix首页 | 论坛 | 博客

aullik5的ChinaUnix博客

首页 |  博文目录 |  关于我

aullik5

  • 博客访问: 1196927
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

我的朋友
最近访客
推荐博文
相关博文
IE地址栏里字符转化的一个小特性

分类: 系统运维

2012-06-27 10:45:24

也不知道从什么版本开始的,在我的IE 8上会自动把地址栏里输入url "\" (0x5c)转化成为 "/"(0x2f)

比如 \a 会变成 /a

测试发现,以下几种情况下:
javascript:\\    ==> 不会转化
\\   ===> 不会转化
a\\  ===>  会转化成


chrome同样也有这个特性;

但是 Firefox 不会自动转化斜杠。

因为 ie 会自动转化,所以 \a 变成 /a 后,就能正常访问了。

由于firefox不会自动转化,所以在firefox \a 会导致无法访问。

最近发现有些钓鱼网站会利用这种特性来绕过一些安全检查,所以特此做个记号。

阅读(1309) | 评论(0) | 转发(0) |
0

上一篇:OWASP ESAPI for Javascript

下一篇:关于XSHM(Cross-Site History Manipulation)

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6