[youtube=http://www.youtube.com/watch?v=eRoMcpZGv_w]
从Sam美女那里得知现在可以贴FLASH了,特开一帖测试。
从Sam美女那里得知现在可以贴FLASH了,特开一帖测试。
SPACE自己生成的代码:
<script language="javascript" type="text/javascript">
if (FlashDetection.HasFlash())
document.write('x3cembed
srcx3dx22httpx3ax2fx2fwww.youtube.comx2fvx2feRoMcpZGv_wx22
typex3dx22applicationx2fx-shockwave-flashx22
heightx3d350
widthx3d425
pluginspagex3dx22httpx3ax2fx2fwww.macromedia.comx2fgox2fgetflashplayerx22
allowscriptaccessx3dnever allownetworkingx3dinternalx3e');
else document.write('x3ca hrefx3dx22httpx3ax2fx2fwww.macromedia.comx2fgox2fgetflashplayerx22
targetx3dx22_blankx22x3ex3c
img srcx3dx22httpx3ax2fx2fsc4.sclive.netx2f00.00.0000.0000x2fWebx2fimagesx2fnoflash.gifx22 x2fx3ex3cx2fax3e');
</script>
汗,微软的东东
if (FlashDetection.HasFlash()) 这种函数随便出现啊……
依稀可以看出结构,正则表达式的替换规律
x3d 空格
x3c 是 "<" 符号
x22 是 "=" 等号
等等
我贴的是:
<embed src="http://www.youtube.com/v/eRoMcpZGv_w"
type="application/x-shockwave-flash"
pluginspage="http://www.macromedia.com/go/getflashplayer"
allowscriptaccess="never" allownetworking="internal" height="350"
width="425">
被自动转换掉了,实际上还是不支持直接贴JS脚本,也是,直接支持JS脚本的话很容易就可以挂上网页木马了。
貌似object这样的标签也还是会给自动转掉,等下贴一个media player上来看看效果
测试结束,果然只支持embed而不支持object…… 不过总算可以贴FLASH了也算一大改进吧。