Xsstc: Cross-site scripting through CSS data,看名字就看出來了,透過CSS跨站運行script,使用方法:
導入xsstcx.js(未壓縮版xsstc.js)
加入一個id=”Xsstc”的空DIV。
在JS中呼叫Xsstc.exec(functionURL, callback),使用的內容作為callback的參數傳入callback中
其中CSS的定義也有要求,以下是Hello World中CSS的定義
CSS程式碼
Xsstc {
background-image: url('about:blank#Hello%20World');
}
JavaScript程式碼
Xsstc.exec('http://lbs.tralfamadore.com/test.css', showResponse)
參考文件:
原文說明: http://ajaxian.com/archives/xsstc-cross-site-scripting-through-css- data
測試頁面:http://www.tralfamadore.com/test-xsstc.html