使用label标签控制form的提交
2009-05-20 11:12
288 查看
首先强烈抗议百度的管理员在未经允许的情况下删除我文章后面一些朋友们的评论!!那些都是很正常的技术讨论,没有反党反社会反人类,没有违反日内瓦公约,没有违反中华人民共和国宪法,不是病毒不是蠕虫不是rookit不是0day,如果要删评论,请给我任何一个说得过去的正当理由?
得道多助,失道寡助,删我一次评论事小,失了民心,谁的损失才大?百度的企业文化就是这样不负责任,这样欺负客户吗?这就是百度的价值观?
我将保留通过百度内部途径向你的主管投诉的权利。
---------------------- 我是愤怒的分割线 -------------------------------
扯完淡了,继续讲技术
今天还看到了一篇非常精彩的文章:
Html Control Without Javascript
主要是讲使用label标签的for属性,可以绑定form表单里的button或者object标签
如下:
<label for="fvck">
...... 这里填充任意文字或页面
</label>
<form action="javascript:alert(/xss/)" method="get">
<input id="fvck" type=submit>
</form>
实际上,由于for的值就是input的id值,所以他们就是绑定的。当用户用鼠标选中了label里的文字的时候,就相当于激活了<input>里的action,就提交了表单了。
在本例中会造成一个跨站。
如果form的action指向某个url,则会向该url发出请求。
作者还提到使用这个方法可以偷偷的从用户机器里上传文件。
实际上就是在用户未知的情况下提交了表单了。
对于form里的object标签,使用label也能激活它。但是一般的网站都会限制输入object标签,所以很多时候可能都用不上。
action这个属性不光form能用,在isindex里也能用。
前两天的那个isindex的跨站,如果加上了id
<isindex action=javascript:alert() type=image id="fvck">
那么也能够通过label的 for 来控制,这样就使攻击者更加方便了。
得道多助,失道寡助,删我一次评论事小,失了民心,谁的损失才大?百度的企业文化就是这样不负责任,这样欺负客户吗?这就是百度的价值观?
我将保留通过百度内部途径向你的主管投诉的权利。
---------------------- 我是愤怒的分割线 -------------------------------
扯完淡了,继续讲技术
今天还看到了一篇非常精彩的文章:
Html Control Without Javascript
主要是讲使用label标签的for属性,可以绑定form表单里的button或者object标签
如下:
<label for="fvck">
...... 这里填充任意文字或页面
</label>
<form action="javascript:alert(/xss/)" method="get">
<input id="fvck" type=submit>
</form>
实际上,由于for的值就是input的id值,所以他们就是绑定的。当用户用鼠标选中了label里的文字的时候,就相当于激活了<input>里的action,就提交了表单了。
在本例中会造成一个跨站。
如果form的action指向某个url,则会向该url发出请求。
作者还提到使用这个方法可以偷偷的从用户机器里上传文件。
实际上就是在用户未知的情况下提交了表单了。
对于form里的object标签,使用label也能激活它。但是一般的网站都会限制输入object标签,所以很多时候可能都用不上。
action这个属性不光form能用,在isindex里也能用。
前两天的那个isindex的跨站,如果加上了id
<isindex action=javascript:alert() type=image id="fvck">
那么也能够通过label的 for 来控制,这样就使攻击者更加方便了。
相关文章推荐
- [网摘]使用fieldset、label标签制作form表单
- 集中 提交 form、 方式 和 a标签的使用方式
- 使用fieldset、label标签制作form表单
- 使用jquery.form.js的ajaxsubmit方法提交时参数file标签有值报JS错误
- 使用jsp的Form标签填写表单(自动返回提交值)
- form提交时,如果target=_blank,则会打开一个新页面,但是大小和位置无法控制,请问如何进行控制
- jQuery ajax()使用serialize()提交form数据
- Struts2之form标签的action及namespace属性的组合使用
- form表单中的label标签
- struts2中form表单使用post方式提交参数(键值对)超过10000的限制
- jstl标签的使用 控制table中行列的显示
- 使用FormData对象提交表单及上传图片
- 点击button标签会导致提交form
- Cocos2d-x游戏开发之CCLabelTTF标签详解之Create方法(设置自动换行的标签)和换行符的巧妙使用(十六)(高级篇) (转)
- label标签使用详解
- form表单提交target属性使用
- 使用ajax提交form表单,包括ajax文件上传
- 使用jQuery.form插件,实现完美的表单异步提交
- Git的使用(1)创建仓库,添加版本控制和提交
- AndroidManifest.xml中android:label标签的使用