Javascript 是否可能被带有内联样式的样式标签上的XSS攻击？_Javascript_Html_Xss

Javascript 是否可能被带有内联样式的样式标签上的XSS攻击？

javascript html

Javascript 是否可能被带有内联样式的样式标签上的XSS攻击？,javascript,html,xss,Javascript,Html,Xss,例如： <!DOCTYPE> <html lang="en"> <head> <title>XSS test</title> <style> div { background-color:red; height:100px; width:100px; } </s

例如：

<!DOCTYPE>
<html lang="en">
    <head>
        <title>XSS test</title>
        <style>
        div {
            background-color:red;
            height:100px;
            width:100px;
        }
        </style>
    </head>
    <body>
        <div></div>
    </body>
</html>


XSS测试
div{
背景色：红色；
高度：100px；
宽度：100px；
}

是否可以使用内部样式标记插入

JavaScript

代码？我听说可以通过

CSS

触发

XSS

攻击是的，由于后者的URL支持，JavaScript甚至可以通过CSS执行。通常，由于

JavaScript:

和

data:

伪URL，您可以通过任何允许您指定URL的机制来执行JavaScript。因此，有许多跨站点脚本向量通过CSS工作。例如：

<style>p[foo=bar{}*{-o-link:'javascript:alert(1)'}{}*{-o-link-source:current}*{background:red}]{background:green};</style>

p[foo=bar{}*{-o-link:'javascript:alert（1）}{}*{-o-link-source:current}*{background:red}]{background:green}；

在Mario Heiderich网站上可以找到更多此类攻击

此示例是静态的，因此不可能使用XSS对其进行攻击。攻击示例：