是否可以在CSS样式表中使用跨站点脚本?例如,参考样式表包含恶意代码,您将如何执行此操作? 我知道你可以使用样式标签,但样式表呢?
答案 0 :(得分:36)
JavaScript执行的风险。作为一个鲜为人知的特性,一些CSS实现允许将JavaScript代码嵌入到样式表中。至少有三种方法可以实现这一目标:使用表达式(...)指令,它可以评估任意JavaScript语句并将其值用作CSS参数;通过对支持它的属性使用url('javascript:...')指令;或者通过调用特定于浏览器的功能,例如-moz-binding mechanism of Firefox。
...在阅读之后,我在StackOverflow上找到了这个。见Using Javascript in CSS 在Firefox中,您可以使用XBL通过CSS在页面中注入javascript。但是,XBL文件必须位于同一个域中,现在必须位于bug 324253 is fixed。
还有另一个有趣的(虽然与你的问题不同)滥用CSS的方法。见http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html。实际上,您滥用CSS解析器来窃取来自不同域的内容。
答案 1 :(得分:4)
OWASP Mutillidae项目在页面上有一个级联样式注入漏洞示例:http://localhost/mutillidae/index.php?page=set-background-color.php
当然,您需要先在本地设置env。您可以从以下链接下载并在本地主机上进行设置: https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project
答案 2 :(得分:2)
是的,它的调用 Xsstc ,请阅读本文的更多内容:
http://www.tralfamadore.com/2008/08/xsstc-cross-site-scripting-through-css.html