CSS注入:可能发生的最糟糕的事情是什么?

时间:2009-04-05 09:05:36

标签: javascript css security

我们正在进行安全评估。

恶意用户有可能将任意CSS注入其他用户的网页,尽管我们不确定它是否真的可以被利用。

我知道他可以完全改变页面外观,甚至根本不会显示任何内容。这就是全部? 可能发生的最坏情况是什么? JavaScript可以嵌入CSS吗?他可以“窃取”其他用户的cookie吗?并开始另一场会议?

2 个答案:

答案 0 :(得分:17)

答案 1 :(得分:2)

对以上所有内容都是肯定的。注入任意CSS可能导致javascript执行。看看:

可能发生的最糟糕的事情取决于环境。在某些情况下,窃取会话cookie和访问用户会话可能是最糟糕的事情(例如,银行,在线股票交易),这可能不适合您的情况。其他攻击的例子是获得对浏览器的控制权,获得对客户端机器的访问权等。