5
可能重複:
Cross Site Scripting in CSS Stylesheets可以從鏈接的樣式表中執行XSS攻擊嗎?
我正在考慮,允許用戶創建通過鏈接的樣式表(不嵌入樣式標籤)自己的CSS。可以從樣式表執行XSS攻擊嗎?
感謝
A
回答
3
在Internet Explorer,Firefox和其他瀏覽器,你可以通過在url() CSS語句中指定一個javascript: URL在CSS中嵌入的JavaScript。
即使您設法將其過濾掉,攻擊者仍可以使用高級CSS完全重新設計頁面(包括其所有文本內容)。因此,誘騙用戶執行愚蠢行爲變得非常容易,這就是XSS的意圖。例如,您可以使按鈕填充整個窗口並將其文本更改爲「點擊此處贏取1000美元」。
你可以白名單有選擇的幾個特性(text-*,font-*,color,background(僅限於顏色和漸變,沒有網址或其他花哨的東西)),但你必須拒絕任何不符合這些限制。
0
0
這些都是舊的黑客,但可能仍然在舊版瀏覽器中工作,例如,您可以將javascript協議放在href attr中。
http://ha.ckers.org/xss.html (搜索方式)
相關問題
- 1. 檢查模式以避免XSS攻擊
- 2. XSS攻擊得到可變
- 3. XSS在wordpress中的攻擊?
- 4. URL中的XSS攻擊
- 5. 我可以通過使用會話阻止XSS攻擊嗎?
- 6. 腳本顯示在HTML textarea中時是否可以執行XSS攻擊?
- 7. 是否可以在具有內聯樣式的樣式標籤上使用XSS進行攻擊?
- 8. XSS攻擊防護
- 9. 防止XSS攻擊
- 10. 防止XSS攻擊
- 11. XSS攻擊防範
- 12. 可以使用UIButton在UIWebView中執行超鏈接單擊嗎?
- 13. 跨站點腳本攻擊(xss)攻擊
- 14. XSS-攻擊:當輸入值被設置時是否可以執行JS?
- 15. 可以使用window.location進行哪些XSS攻擊
- 16. CakePHP的:防止XSS攻擊
- 17. 通過iframe src進行的xss攻擊
- 18. SQL注入/ XSS攻擊可能與preg_replace?
- 19. 以下錯誤日誌xss攻擊?
- 20. 轉義<足以防範XSS攻擊
- 21. 可能的符號鏈接攻擊
- 22. 防止xss攻擊/注入
- 23. XSS DOM易受攻擊
- 24. 防止Javascript和XSS攻擊
- 25. AJAX XSS攻擊和.Net MVC
- 26. Json.Net Wrapper防止Xss攻擊
- 27. angularjs防止XSS攻擊
- 28. Meteor.js和CSRF/XSS攻擊
- 29. 檢測DOM XSS攻擊
- 30. 如何避免XSS攻擊
可能IE做過最壞的打算。 –
@Amir Raminfar:我認爲這將是一個較短的清單,列出哪些IE做對了。我會開始:允許我下載一個真正的瀏覽器。 – Robert
是否有少量的CSS關鍵字可以加入黑名單,以防止執行和使用新內容填充元素? – Tom