5
可能重复:
Cross Site Scripting in CSS Stylesheets可以从链接的样式表中执行XSS攻击吗?
我正在考虑,允许用户创建通过链接的样式表(不嵌入样式标签)自己的CSS。可以从样式表执行XSS攻击吗?
感谢
A
回答
3
在Internet Explorer,Firefox和其他浏览器,你可以通过在url() CSS语句中指定一个javascript: URL在CSS中嵌入的JavaScript。
即使您设法将其过滤掉,攻击者仍可以使用高级CSS完全重新设计页面(包括其所有文本内容)。因此,诱骗用户执行愚蠢行为变得非常容易,这就是XSS的意图。例如,您可以使按钮填充整个窗口并将其文本更改为“点击此处赢取1000美元”。
你可以白名单有选择的几个特性(text-*,font-*,color,background(仅限于颜色和渐变,没有网址或其他花哨的东西)),但你必须拒绝任何不符合这些限制。
0
0
这些都是旧的黑客,但可能仍然在旧版浏览器中工作,例如,您可以将javascript协议放在href attr中。
http://ha.ckers.org/xss.html (搜索方式)
相关问题
- 1. 检查模式以避免XSS攻击
- 2. XSS攻击得到可变
- 3. XSS在wordpress中的攻击?
- 4. URL中的XSS攻击
- 5. 我可以通过使用会话阻止XSS攻击吗?
- 6. 脚本显示在HTML textarea中时是否可以执行XSS攻击?
- 7. 是否可以在具有内联样式的样式标签上使用XSS进行攻击?
- 8. XSS攻击防护
- 9. 防止XSS攻击
- 10. 防止XSS攻击
- 11. XSS攻击防范
- 12. 可以使用UIButton在UIWebView中执行超链接单击吗?
- 13. 跨站点脚本攻击(xss)攻击
- 14. XSS-攻击:当输入值被设置时是否可以执行JS?
- 15. 可以使用window.location进行哪些XSS攻击
- 16. CakePHP的:防止XSS攻击
- 17. 通过iframe src进行的xss攻击
- 18. SQL注入/ XSS攻击可能与preg_replace?
- 19. 以下错误日志xss攻击?
- 20. 转义<足以防范XSS攻击
- 21. 可能的符号链接攻击
- 22. 防止xss攻击/注入
- 23. XSS DOM易受攻击
- 24. 防止Javascript和XSS攻击
- 25. AJAX XSS攻击和.Net MVC
- 26. Json.Net Wrapper防止Xss攻击
- 27. angularjs防止XSS攻击
- 28. Meteor.js和CSRF/XSS攻击
- 29. 检测DOM XSS攻击
- 30. 如何避免XSS攻击
可能IE做过最坏的打算。 –
@Amir Raminfar:我认为这将是一个较短的清单,列出哪些IE做对了。我会开始:允许我下载一个真正的浏览器。 – Robert
是否有少量的CSS关键字可以加入黑名单,以防止执行和使用新内容填充元素? – Tom