j08*_*691 46 html encoding image
http://lcamtuf.coredump.cx/squirrel/
据作者说,
这是图像的嵌入式登录页面.您可以链接到此URL并获取您正在查看的HTML文档(很快就会包含必要的松鼠事实); 或者在您自己的松鼠主题页面上嵌入与图像完全相同的URL:
<a href="http://lcamtuf.coredump.cx/squirrel/">Click here!</a> <img src="http://lcamtuf.coredump.cx/squirrel/">不涉及服务器端黑客 - 魔术发生在您的浏览器中.
换句话说,如果您将该URL弹出到浏览器中,它将呈现为网页,但您也可以使用相同的URL作为图像源.
什么样的巫术在这里工作?
(编辑:如果该网站脱机,则来自上述链接的源代码.)
orl*_*rlp 46
您链接的文件是多语言 - 语言的组合.它可以读取和理解为两者的图像和HTML文件.这是一个简单的伎俩.如果您查看HTML源代码,可以在顶部看到:
ÿØÿà
一个快速的谷歌显示这看起来像一个JPEG标题.创建者所做的是将HTML存储在JPEG元数据中,将JPEG图像数据存储在html注释中.漂亮漂亮但不神奇.
要隐藏JPEG标头,他使用CSS规则来隐藏正文并仅显示一些元素:
body { visibility: hidden; }
.n { visibility: visible; position: absolute; ...... }
另请注意,它不是有效的HTML,例如因为隐藏图像数据的注释未关闭,但浏览器仍然乐于接受并呈现它.