Frage:
Kann Cross-Site-Scripting (XSS) betreiben? Können Schwachstellen durch CSS-Stylesheets ausgenutzt werden? Wenn ja, wie kann dies mithilfe eines böswilligen Referenz-Stylesheets im Gegensatz zu Inline-Style-Tags erreicht werden?
Antwort:
Laut dem Browser Security Handbook CSS-Implementierungen erlauben tatsächlich die Ausführung von JavaScript-Code innerhalb von Stylesheets durch drei Hauptmethoden:
Darüber hinaus haben StackOverflow-Benutzer festgestellt, dass JavaScript mithilfe von XBL (Extensible Binding Language) über CSS in eine Seite in Firefox eingefügt werden kann. Es ist jedoch erwähnenswert, dass die XBL-Datei von derselben Domäne stammen muss, um eine Ausnutzung zu verhindern.
Eine weitere bemerkenswerte Technik wird im Scary Beast Security-Blog beschrieben. Durch die Manipulation des CSS-Parsers wird es möglich, Inhalte aus einer anderen Domäne abzurufen, obwohl dies geringfügig vom Konzept des Cross-Site-Scripting abweicht.
Das obige ist der detaillierte Inhalt vonKönnen CSS-Stylesheets Cross-Site-Scripting-Angriffe ermöglichen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!