CSS 樣式表可以啟用跨網站腳本攻擊嗎？

CSS 樣式表可以託管跨站腳本漏洞嗎？

問題：

可以跨站腳本 (XSS)透過 CSS 樣式表利用漏洞？如果是這樣，如何使用惡意引用樣式表而不是內聯樣式標籤來實現？

答案：

根據瀏覽器安全手冊，CSS 實作確實允許透過三個主要方式在樣式表中執行JavaScript 程式碼方法：

1. 表達式（...）指令： 評估JavaScript 語句並將其傳回值用作CSS 參數。
2. Url('javascript :...') 指令： 將 JavaScript 程式碼插入支援此功能的屬性中指令。
3. 特定於瀏覽器的功能：例如，Firefox 的 -moz 綁定機制允許在 CSS 中呼叫 JavaScript。

此外，StackOverflow 使用者還具有註意到 JavaScript 可以使用 XBL（可擴充綁定語言）透過 CSS 注入到 Firefox 的頁面中。然而，值得一提的是，XBL 檔案必須源自於同一網域，以防止被利用。

Scary Beast Security 部落格中描述了另一種值得注意的技術。透過操作 CSS 解析器，可以從不同的網域檢索內容，儘管這與跨站點腳本的概念略有不同。

以上是CSS 樣式表可以啟用跨網站腳本攻擊嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！