标签: css xss css-variables
假设我这样做:
element.style.setProperty('--my-var', unescapedUserInput);
unescapedUserInput是未转义的用户输入,这是安全问题吗?如果是,那么可能会发生什么攻击?
unescapedUserInput