Javascript CSS注入:什么';可能发生的最坏情况是什么?
我们正在进行安全评估 恶意用户有可能将任意CSS注入另一个用户的网页,尽管我们不确定它是否真的可以被利用 我知道他可以完全改变页面外观,甚至根本不显示任何内容。就这些吗?Javascript CSS注入:什么';可能发生的最坏情况是什么?,javascript,css,security,Javascript,Css,Security,我们正在进行安全评估 恶意用户有可能将任意CSS注入另一个用户的网页,尽管我们不确定它是否真的可以被利用 我知道他可以完全改变页面外观,甚至根本不显示任何内容。就这些吗? 可能发生的最坏情况是什么?JavaScript可以嵌入到CSS中吗?他能“偷”其他用户的cookie吗?是否启动另一个会话?以上所有选项均为“是”。注入任意CSS可能导致javascript执行。看看: 可能发生的最糟糕的事情取决于环境。在某些情况下,窃取会话cookie并访问用户会话可能是最糟糕的事情(例如,银行、在线
可能发生的最坏情况是什么?JavaScript可以嵌入到CSS中吗?他能“偷”其他用户的cookie吗?是否启动另一个会话?以上所有选项均为“是”。注入任意CSS可能导致javascript执行。看看:
可能发生的最糟糕的事情取决于环境。在某些情况下,窃取会话cookie并访问用户会话可能是最糟糕的事情(例如,银行、在线股票交易),但在您的情况下可能不是这样。其他攻击的例子包括控制浏览器、访问客户端机器等。链接已经失效,但我相信它已经失效。无论如何,这个答案早已过时;我相信IE11删除了CSS中最后一个挥之不去的JavaScript执行向量。(IE10删除了
行为表达式(…)