是否可以在CSS样式表中使用跨站点脚本?例如,参考样式表包含恶意代码,您将如何执行此操作?我知道你可以使用样式标签,但样式表怎么样?
Sri*_*nan 36
来自浏览器安全手册
JavaScript执行的风险.作为一个鲜为人知的特性,一些CSS实现允许将JavaScript代码嵌入到样式表中.至少有三种方法可以实现这一目标:使用表达式(...)指令,它可以评估任意JavaScript语句并将其值用作CSS参数; 通过对支持它的属性使用url('javascript:...')指令; 或者通过调用特定于浏览器的功能,例如Firefox的-moz绑定机制.
...阅读之后,我在StackOverflow上找到了这个.请参阅在CSS中使用Javascript 在Firefox中,您可以使用XBL通过CSS在页面中注入javascript.但是,现在修复了错误324253,XBL文件必须位于同一个域中.
有一个有趣的(虽然与你的问题不同)滥用CSS的方式.请参阅http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html.实际上,您滥用CSS解析器来窃取来自不同域的内容.
OWASP Mutillidae 项目在页面上有一个级联样式注入漏洞示例?http://localhost/mutillidae/index.php?page=set-background-color.php
当然,您需要先在本地设置 env。您可以从以下链接下载并在您的本地主机上进行设置:https : //www.owasp.org/index.php/OWASP_Mutillidae_2_Project
这是相关提示:https : //github.com/hyprwired/mutillidae/blob/master/includes/hints-level-1/cascading-style-sheet-injection-hint.inc
| 归档时间: |
|
| 查看次数: |
41657 次 |
| 最近记录: |