5
我想知道是否有任何方法可以在現代瀏覽器上獲得CSS Style XSS?有沒有辦法在現代瀏覽器中獲取CSS XSS?
例如,在較舊的IE瀏覽器,以下是易感:
<div style="width:expression(prompt('XSS'))">
A
回答
3
號這個例子示出了完美,使用Javascript(或任何腳本)具有在CSS沒有到位,所以XSS(第二S是對於'腳本')是不可能的。 CSS應該只是聲明性的,並且在符合W3標準的情況下執行。動態表達式現在使用calc完成,它只能評估簡單的數學表達式,而不使用JS引擎。
expression是一個IE瀏覽器只有黑客幫助具體功能,直到W3提出了一個替代方案。由於出現calc,因此不推薦使用expression。從IE11開始,expression is no longer supported in the Internet Zone。它是announced in 2008,它會以這種方式結束,特別是引用'作爲減少攻擊面'的核心原因之一。在比IE11更老的版本中,它已經有相當一段時間只支持怪異模式和IE7仿真模式無論如何。
總結:CSS沒有用於Javascript的地方,因此在正確實施時無法像XSS一樣在每個當前瀏覽器中進行攻擊。
+0
「應該*不可*」或「不再可能在IE中」(而不是「不可能」)。 – user2864740 2014-09-02 02:41:21
+1
如上所述,在IE11中,對公共場所「表達式」的支持完全被削弱了,並且在很多年以來一直受到嚴重限制。因此,除了缺陷和未知漏洞之外,這是不可能的。 – 2014-09-02 07:47:13
相關問題
- 1. 有沒有辦法確保你的CSS是跨瀏覽器的?
- 2. 有沒有辦法從java applet中讀取瀏覽器的cookie?
- 3. 有沒有辦法從Python中的瀏覽器中獲取當前的HTML?
- 4. 有沒有辦法使用DesiredCapabilities獲取Selenium WebDriver中的非遠程瀏覽器?
- 5. 有沒有辦法在Webkit瀏覽器上使用jQuery 1.3.0獲取$ .mobile.pageCreate?
- 6. Safari瀏覽器擴展程序:有沒有辦法讀取cookies
- 7. 有沒有辦法改變在瀏覽器中註冊的CSS類
- 8. 有沒有辦法在每個瀏覽器中啓用彈出
- 9. 有沒有辦法在瀏覽器中捕獲所有鍵盤輸入?
- 10. 有沒有辦法改變製表符在瀏覽器中的呈現方式?
- 11. 有沒有辦法在mootools中捕獲x瀏覽器粘貼事件?
- 12. Android:有沒有什麼辦法使用瀏覽器或瀏覽器應用程序獲取設備的IMEI
- 13. 有沒有什麼辦法可以檢測出只有CSS的Android瀏覽器?
- 14. 有沒有什麼辦法阻止瀏覽器頁面滾動瀏覽器
- 15. 有沒有辦法在WP7上插入IE瀏覽器?
- 16. 有沒有辦法讓瀏覽器擁有登錄憑證?
- 17. 有沒有辦法更改瀏覽器選項卡中出現的GAS名稱?
- 18. 有沒有辦法在瀏覽器之外實現OpenAuth而不訴諸黑客?
- 19. 有沒有一種方法來獲取瀏覽器生成的HTML和CSS
- 20. 有沒有辦法從VS2012 CSHTML代碼編輯器獲取CSS類定義?
- 21. Font Awesome沒有出現在瀏覽器
- 22. 有沒有辦法檢測瀏覽器窗口是否關閉?
- 23. 有沒有辦法改變GWT瀏覽器的標籤圖標?
- 24. 有沒有辦法停止瀏覽器的頁面加載?
- 25. 有沒有辦法控制Safari瀏覽器的滑動手勢?
- 26. 瀏覽器擴展:有沒有辦法停止加載圖像?
- 27. 有沒有辦法測試瀏覽器是否支持flash/silverlight?
- 28. 有沒有辦法通過瀏覽器測試2路ssl?
- 29. 有沒有辦法強制瀏覽器不緩存?
- 30. 有沒有辦法顯示瀏覽器不支持的字體?
如果HTML是以文本形式動態構建的,並且用於style屬性(例如)的數據沒有轉義,那麼HTML注入仍然是可能的;但我懷疑這不是被要求的。 – user2864740 2014-09-01 20:51:35
你能解釋一下你打算如何使用它?可能有其他選擇。 – easwee 2014-09-01 20:52:53