fly*_*ire 26 javascript css security
我们正在进行安全评估.
恶意用户有可能将任意CSS注入其他用户的网页,尽管我们不确定它是否真的可以被利用.
我知道他可以完全改变页面外观,甚至根本不会显示任何内容.这就是全部?可能发生的最坏情况是什么?JavaScript可以嵌入CSS吗?他可以"窃取"其他用户的cookie吗?并开始另一场会议?
Kon*_*kus 17
看看这里:
小智 2
对以上所有内容都是肯定的。注入任意 CSS 都可能导致 javascript 执行。看着:
可能发生的最糟糕的事情取决于环境。在某些情况下,窃取会话 cookie 并访问用户会话可能是最糟糕的事情(例如,银行、在线股票交易),但您的情况可能并非如此。其他攻击示例包括获取浏览器的控制权、获取对客户端计算机的访问权限等。
| 归档时间: |
|
| 查看次数: |
21845 次 |
| 最近记录: |