是否可以在CSS样式表中使用跨脚本脚本?例如,参考样式表包含恶意代码,您将如何执行此操作? 我知道你可以使用样式标签,但样式表呢?CSS样式表中的跨站脚本
回答
JavaScript执行的风险。作为一个鲜为人知的功能,一些CSS实现允许将JavaScript代码嵌入到样式表中。至少有三种方法可以实现此目标:使用表达式(...)指令,该指令可以评估任意JavaScript语句并将其值用作CSS参数;通过在支持它的属性上使用url('javascript:...')指令;或者通过调用浏览器特有的功能,如-moz-binding mechanism of Firefox。
...并在阅读后,我发现这在StackOverflow。请参阅Using Javascript in CSS 在Firefox中,您可以使用XBL通过CSS在页面中注入JavaScript。但是,XBL文件必须位于相同的域中,现在是bug 324253 is fixed。
还有一个有趣的(虽然不同于你的问题)滥用CSS的方式。见http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html。本质上,你滥用CSS解析器来窃取来自不同域的内容。
是它的呼叫Xsstc,多读这篇文章在:
http://www.tralfamadore.com/2008/08/xsstc-cross-site-scripting-through-css.html
的OWASP Mutillidae项目有页面上的层叠样式注入漏洞例如:http://localhost/mutillidae/index.php?page=set-background-color.php
当然,你需要设置局部ENV第一。您可以下载并从以下链接设置它在本地主机: https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project
- 1. 跨站点脚本表单
- 2. 跨站点脚本
- 3. 跨站点脚本
- 4. 跨站点脚本?
- 5. 跨站点脚本 - 隐藏表单域
- 6. 防止PHP中的跨站点脚本
- 7. JavaScript中的跨站点脚本编制
- 8. 避免跨站点脚本
- 9. document.domain和跨站点脚本
- 10. 跨站点脚本预防
- 11. htmltextwriter和跨站点脚本
- 12. 跨站点脚本帮助?
- 13. 从图像中跨站点脚本
- 14. 如何防止InfoPath表单中的跨站点脚本
- 15. CSS样式表
- 16. css样式表
- 17. 页脚不是CSS中的样式
- 18. 使用Iframe的跨站脚本编程
- 19. 消除跨站点脚本的方法
- 20. 防止跨站脚本的复选框
- 21. CSS:踢脚线样式
- 22. css样式表和脚本在身体。可能?
- 23. CSS - 跨浏览器兼容性=不同的样式表?
- 24. ARBONNE文本的CSS样式
- 25. 微软反跨站点脚本库
- 26. GWT -xss(跨站点脚本)演示
- 27. 防止XSS(跨站点脚本)
- 28. Fortify跨站点脚本:验证不佳
- 29. 跨站点脚本 - Cookie加密
- 30. OWASP跨站点脚本规则?
我听说过那本手册,但并不认为这值得一读。现在我知道了。感谢你的回答。 :)因此,IE8不支持标准模式下的表达式()。 (只是想我会提起) – Johnny 2010-09-01 06:39:20