Content-Type伪装 - 将jsp伪装成css

一、前期理论准备

1)目的:

 在jsp中动态生成css语句,然后输出给浏览器解析、渲染。

2)浏览器解析文件的依据:

 页面加载后,浏览器会发起各个请求去下载各种资源。

 比如下载css文件,然后根据css的解析规则去解析文档。而如果下载的文件Content-Type不符合,则浏览器会自动屏蔽掉。



Content-Type伪装 - 将jsp伪装成css

二、让jsp变身css的前提

知道浏览器的解析规则后,jsp需要做的就是把自己的Content-Type伪装成"text/css"。

三、直接上代码:

index.html

<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge"/>
<title>jsp文件输出为css文件</title>
<link type="text/css" rel="stylesheet" href="./css.jsp" />
</head>
<body>
<p class="demo">wall say: hello!</p>
</body>
</html>

css.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" session="false"%>
<%
// 伪装响应的http头部
response.setHeader("Content-Type", "text/css"); // 输出css样式
out.clear();
out.print("@charset \"utf-8\";\n");
out.print("p{color:red;}\n");
%>

四、结果

Content-Type伪装 - 将jsp伪装成css



成功将jsp伪装成css文件,浏览器解析样式成功!

五、扩展

根据这种伪装规则,可以将jsp伪装成任意的文件格式,只要浏览器能够解析。

比如伪装成js,则将Content-Type设置为“application/x-javascript”

上个传送门:HTTP Content-Type信息表

原文入口:'http://www.jianshu.com/p/33582cb0b488'

上一篇:使用map端连接结合分布式缓存机制实现Join算法


下一篇:如何运用kali-xplico网络取证分析?点开看看吧