CSS スタイルシートを介してクロスサイト スクリプティング (XSS) を悪用するにはどうすればよいですか?

CSS スタイルシートのクロスサイト スクリプティングについて

クロス サイト スクリプティング (XSS) は、攻撃者が悪意のあるコードを Web に挿入できるようにする悪意のある手法です。ページにアクセスすると、ユーザー データとシステム セキュリティが侵害される可能性があります。 XSS は JavaScript に関連付けられることが多いですが、CSS スタイルシートの脆弱性を悪用することも可能です。

CSS スタイルシートで XSS はどのように可能ですか?

CSS スタイルシートは通常、 Web ページによって参照される外部ファイルで定義されます。この外部リンク メカニズムは、参照されているスタイルシートが侵害された場合に脆弱性を引き起こす可能性があります。

ブラウザのセキュリティ ハンドブックで概説されているように、CSS スタイルシート内で悪意のある JavaScript を実行する方法はいくつかあります。

• 使用任意の JavaScript ステートメントを評価するためのexpression(...) ディレクティブ。
• それをサポートするプロパティの url('javascript:...') ディレクティブ。
• Firefox の -moz-binding メカニズムなどのブラウザ固有の機能を呼び出します。

さらに、 Firefox では、XBL (Extensible Binding Language) を使用して、CSS 経由で JavaScript をページに挿入できます。ただし、この方法では、XBL ファイルが同じドメインに存在する必要があります (回答で言及されている StackOverflow スレッドに記載されているように)。

CSS のその他の悪用

XSS とは直接関係ありませんが、別のテクニックについて言及する価値があります。それは、CSS パーサーを悪用して、さまざまなドメインからコンテンツを盗むことです。これについては、「汎用クロスブラウザー クロスドメイン」の記事で説明されています。

CSS での XSS からの保護

CSS の XSS 脆弱性を軽減するには、Web サイト開発者は次のことを行う必要があります。

• Web で参照する前に CSS ファイルをサニタイズします
• 信頼できる当事者が参照されたスタイルシートを提供していることを確認します。
• ブラウザレベルのセキュリティ ポリシーを使用して、クロスサイト リソースの読み込みを制限します。

以上がCSS スタイルシートを介してクロスサイト スクリプティング (XSS) を悪用するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。