xss-CSS样式表中的跨站点脚本

是否可以在CSS样式表中使用跨站点脚本? 例如,参考样式表包含恶意代码,您将如何处理?我知道您可以使用样式标签,但是样式表呢?

Johnny asked 2020-08-11T08:43:38Z
3个解决方案
36 votes

来自浏览器安全手册

JavaScript执行的风险。 作为一项鲜为人知的功能,某些CSS实现允许将JavaScript代码嵌入样式表中。 至少有三种方法可以实现此目标:使用expression(...)指令,该指令可以评估任意JavaScript语句并将其值用作CSS参数; 通过在支持它的属性上使用url('javascript:...')指令; 或通过调用特定于浏览器的功能(例如Firefox的-moz-binding机制)。

...阅读完之后,我在StackOverflow上找到了它。 请参阅在CSS中使用Javascript在Firefox中,您可以使用XBL通过CSS在页面中注入javascript。 但是,由于已修复错误324253,XBL文件必须位于同一域中。

还有另一种有趣的(虽然与您的问题有所不同)滥用CSS的方法。 请参阅[http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html。]本质上,您滥用CSS解析器来窃取来自其他域的内容。

Sripathi Krishnan answered 2020-08-11T08:43:59Z
4 votes

OWASP Mutillidae项目的页面上有一个层叠样式注入漏洞示例:[http://localhost/mutillidae/index.php?page = set-background-color.php]

当然,您需要先在本地设置环境。 您可以从以下链接下载并在本地主机上进行设置:[https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project]

这是相关的提示:[https://github.com/hyprwired/mutillidae/blob/master/includes/hints-level-1/cascading-style-sheet-injection-hint.inc]

ZillGate answered 2020-08-11T08:44:28Z
2 votes

是的,它的调用Xsstc,请阅读本文的更多内容:

[HTTP://呜呜呜.突然阿里发明adore.com/2008/08/销售商提出-cross-site-scripting-through-CSS.HTML]

Haim Evgi answered 2020-08-11T08:44:53Z
translate from https://stackoverflow.com:/questions/3607894/cross-site-scripting-in-css-stylesheets