结果无名可能是session和referer任一成立皆可 <iframe style="display:none;" src="http://www.wretch.cc/mypage/user"></iframe> <? if(substr($_REQUEST['s'],0,7)!='http://'){ die('Invalid input'); } $a=file_get_contents($_REQUEST['s']); preg_match_all('/<img.*?src="(.*?)"/is',$a,$res); for($i=0;$i<count($res[1]);$i++){ echo '<img src="'.$res[1][$i].'" /><br />'."\n"; } ?> 在这个测试页中 输入s作为相簿网址 iframe的src只要是无名的页面都可以 所以怀疑是session 既然都可以就找一页安静乾净的页面来 无名首页会检查cookie 有些页面会有javascript error 就乱找一页吧 目的只是为了骗到session --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.114.218.176