这是一个网页或图像?

http://lcamt​​uf.coredump.cx/squirrel/

据作者说,

这是一个图像的embedded式login页面。 你可以链接到这个URL,并获取你正在查看的HTML文件(很快将包括重要的松鼠事实); 或在您自己的松鼠主题页面上embedded与图像完全相同的URL: <a href="http://lcamtuf.coredump.cx/squirrel/">Click here!</a> <img src="http://lcamtuf.coredump.cx/squirrel/">没有涉及服务器端黑客 – 魔术发生在您的浏览器。

换句话说,如果您将该URLpopup到浏览器中,则会呈现为网页,但是您也可以使用相同的URL作为图像源。

这里有什么样的巫术在工作?

(如果该网站曾经离线,请修改:上述链接的源代码 。)

你链接的文件是一个多语言 – 多种语言的组合。 它可以被读取和理解为图像和HTML文件。 这是一个简单的伎俩。 如果您查看HTML源代码,您可以在顶部看到:

 ÿØÿà 

快速Google显示这看起来像一个JPEG标头。 创build者所做的就是将HTML存储在JPEG元数据中,将JPEG图像数据存储在html注释中。 相当漂亮,但不是魔术。

为了隐藏JPEG标题,他使用CSS规则来隐藏主体并只显示一些元素:

 body { visibility: hidden; } .n { visibility: visible; position: absolute; ...... } 

另外请注意,它不是有效的HTML,例如,因为隐藏图像数据的注释没有closures,但浏览器仍然乐于接受并呈现它。

它是一个带有HTML内容和图像数据的html页面。

查看标题,它包含jpg标题。 在源代码中,第一行包含了一个jpeg头文件。 URL http://lcamt​​uf.coredump.cx/squirrel/index.html (附加的index.html)清楚地显示了它的一个html文件。 所以显然这可能被称为网页或图像!

您可以轻松地重命名JPG文件(或任何图像文件)为.html&当您在浏览器中打开,它会显示一个图像,就像任何其他图像。

我记得最近的一个类似的技巧,就是在这里把gif重命名为jpg,但是数据仍然是gif&headers包含gif。