1. 首頁
  2. 問答
  3. 是否可以在具有內聯樣式的樣式標籤上使用XSS進行攻擊?

是否可以在具有內聯樣式的樣式標籤上使用XSS進行攻擊?

2013-10-30 68 views
1

例子:是否可以在具有內聯樣式的樣式標籤上使用XSS進行攻擊?

<!DOCTYPE> 
<html lang="en"> 
    <head> 
     <title>XSS test</title> 
     <style> 
     div { 
      background-color:red; 
      height:100px; 
      width:100px; 
     } 
     </style> 
    </head> 
    <body> 
     <div></div> 
    </body> 
</html>

是否可以使用樣式標籤內注入JavaScript代碼?我聽說可以通過CSS觸發XSS攻擊。

來源

2013-10-30 Soarabh

+0

以及其可能的 – Ahmad

+0

這個例子是靜態的發現,所以沒有可能與XSS攻擊它。 –

+0

攻擊示例:http://stackoverflow.com/questions/4546591/xss-attacks-and-style-attributes?rq=1 –

回答

2

是的,即使通過CSS也可以執行JavaScript,這要歸功於後者中的URL支持。通常,您可以通過允許指定URL的任何機制來執行JavaScript,因爲javascript:data:僞網址。因此,有很多通過CSS工作的跨站點腳本向量。例如:

<style>p[foo=bar{}*{-o-link:'javascript:alert(1)'}{}*{-o-link-source:current}*{background:red}]{background:green};</style>

更多人可以在馬里奧Heiderich網站http://heideri.ch/jso/#css

來源

2013-10-30 15:16:30 kravietz

相關問題

 相關問題