5
我想知道是否有任何方法可以在现代浏览器上获得CSS Style XSS?有没有办法在现代浏览器中获取CSS XSS?
例如,在较旧的IE浏览器,以下是易感:
<div style="width:expression(prompt('XSS'))">
A
回答
3
号这个例子示出了完美,使用Javascript(或任何脚本)具有在CSS没有到位,所以XSS(第二S是对于'脚本')是不可能的。 CSS应该只是声明性的,并且在符合W3标准的情况下执行。动态表达式现在使用calc完成,它只能评估简单的数学表达式,而不使用JS引擎。
expression是一个IE浏览器只有黑客帮助具体功能,直到W3提出了一个替代方案。由于出现calc,因此不推荐使用expression。从IE11开始,expression is no longer supported in the Internet Zone。它是announced in 2008,它会以这种方式结束,特别是引用'作为减少攻击面'的核心原因之一。在比IE11更老的版本中,它已经有相当一段时间只支持怪异模式和IE7仿真模式无论如何。
总结:CSS没有用于Javascript的地方,因此在正确实施时无法像XSS一样在每个当前浏览器中进行攻击。
+0
“应该*不可*”或“不再可能在IE中”(而不是“不可能”)。 – user2864740 2014-09-02 02:41:21
+1
如上所述,在IE11中,对公共场所“表达式”的支持完全被削弱了,并且在很多年以来一直受到严重限制。因此,除了缺陷和未知漏洞之外,这是不可能的。 – 2014-09-02 07:47:13
相关问题
- 1. 有没有办法确保你的CSS是跨浏览器的?
- 2. 有没有办法从java applet中读取浏览器的cookie?
- 3. 有没有办法从Python中的浏览器中获取当前的HTML?
- 4. 有没有办法使用DesiredCapabilities获取Selenium WebDriver中的非远程浏览器?
- 5. 有没有办法在Webkit浏览器上使用jQuery 1.3.0获取$ .mobile.pageCreate?
- 6. Safari浏览器扩展程序:有没有办法读取cookies
- 7. 有没有办法改变在浏览器中注册的CSS类
- 8. 有没有办法在每个浏览器中启用弹出
- 9. 有没有办法在浏览器中捕获所有键盘输入?
- 10. 有没有办法改变制表符在浏览器中的呈现方式?
- 11. 有没有办法在mootools中捕获x浏览器粘贴事件?
- 12. Android:有没有什么办法使用浏览器或浏览器应用程序获取设备的IMEI
- 13. 有没有什么办法可以检测出只有CSS的Android浏览器?
- 14. 有没有什么办法阻止浏览器页面滚动浏览器
- 15. 有没有办法在WP7上插入IE浏览器?
- 16. 有没有办法让浏览器拥有登录凭证?
- 17. 有没有办法更改浏览器选项卡中出现的GAS名称?
- 18. 有没有办法在浏览器之外实现OpenAuth而不诉诸黑客?
- 19. 有没有一种方法来获取浏览器生成的HTML和CSS
- 20. 有没有办法从VS2012 CSHTML代码编辑器获取CSS类定义?
- 21. Font Awesome没有出现在浏览器
- 22. 有没有办法检测浏览器窗口是否关闭?
- 23. 有没有办法改变GWT浏览器的标签图标?
- 24. 有没有办法停止浏览器的页面加载?
- 25. 有没有办法控制Safari浏览器的滑动手势?
- 26. 浏览器扩展:有没有办法停止加载图像?
- 27. 有没有办法测试浏览器是否支持flash/silverlight?
- 28. 有没有办法通过浏览器测试2路ssl?
- 29. 有没有办法强制浏览器不缓存?
- 30. 有没有办法显示浏览器不支持的字体?
如果HTML是以文本形式动态构建的,并且用于style属性(例如)的数据没有转义,那么HTML注入仍然是可能的;但我怀疑这不是被要求的。 – user2864740 2014-09-01 20:51:35
你能解释一下你打算如何使用它?可能有其他选择。 – easwee 2014-09-01 20:52:53