那些遇到过的问题

具有内联样式的样式标签是否可能受到 XSS 攻击?

Soa*_*abh 5 html javascript xss

例子:

<!DOCTYPE>
<html lang="en">
    <head>
        <title>XSS test</title>
        <style>
        div {
            background-color:red;
            height:100px;
            width:100px;
        }
        </style>
    </head>
    <body>
        <div></div>
    </body>
</html>
Run Code Online (Sandbox Code Playgroud)

是否可以JavaScript使用内部样式标签注入代码?我听说可以XSS通过 触发攻击CSS

kra*_*etz 4

是的,由于 CSS 中的 URL 支持,JavaScript 甚至可以通过 CSS 执行。一般来说,您可以通过任何允许您指定 URL 的机制来执行 JavaScript,因为javascript:data:伪 URL 是这样的。因此,有许多通过 CSS 工作的跨站点脚本向量。例如:

<style>p[foo=bar{}*{-o-link:'javascript:alert(1)'}{}*{-o-link-source:current}*{background:red}]{background:green};</style>
Run Code Online (Sandbox Code Playgroud)

更多内容可以在 Mario Heiderich 网站http://heideri.ch/jso/#css上找到

归档时间:

查看次数:

4066 次

最近记录:

12 年,2 月 前
XSS攻击和样式属性 26
更多相关链接
相关归档
在页面加载(jQuery)上滚动到Div的底部 220
在JavaScript中转换为字符串 176
"document.getElementByClass不是一个函数" 135
将Unicode字符插入JavaScript 118
将图像放在右上角 - CSS 109
JavaScript:如何计算2天前的日期? 72
为什么$ .each()不遍历每个项目? 54
Javascript在模态窗口关闭时停止HTML5视频播放 48
供应商在Web文件结构中的含义是什么? 39
jQuery或JavaScript是否具有类和对象的概念? 19
难疑归档
使用JavaScript获取当前网址? 2882
提高SQLite的每秒INSERT性能? 2880
jQuery是否存在"存在"功能? 2669
有没有办法对字符串进行子串? 1995
HTML中id属性的有效值是什么? 1945
INNER JOIN,LEFT JOIN,RIGHT JOIN和FULL JOIN之间有什么区别? 1602
如何递归计算目录中的所有代码行? 1536
传输安全性阻止了明文HTTP 1425
match_parent和fill_parent有什么区别? 1371
丢弃Git中的本地提交 1304