Cross Site Scripting in CSS styleSheets

クロスサイトスクリプティング（XSS）は、攻撃者が悪意のあるコードを注入できるようにする手法です。その後、ページにアクセスするユーザーが実行できるWebページ。 CSSスタイルシートは通常、ページの視覚的な外観を定義するために使用されますが、悪意のあるコードを使用するために使用することも可能です。 &&&]

CSSスタイルシートに悪意のあるコードを注入する方法はいくつかあります。 1つの方法は、式（...）指令を使用することです。これにより、任意のJavaScriptステートメントを評価し、その値をCSSパラメーターとして使用できます。別の方法は、それをサポートするプロパティに関するURL（ 'JavaScript：...'）指令を使用することです。最後に、firefoxの-mozバインディングメカニズムなどのブラウザ固有の機能を呼び出して、悪意のあるコードを注入することもできます。 CSSスタイルシートのXSSを使用して、

ユーザーの資格情報を盗む

を盗むことができます。 ] Webサイトを汚す

を含むCSSスタイルシートのXSSを防ぐためにできることCSSスタイルシートを検証して、悪意のあるコードが含まれていないことを確認します。ブラウザで。 ]

追加リソース

• [ブラウザーセキュリティハンドブック：https://www.owasp.org/index.php/browser_security_handbook#javascript_execution_from_css）
• [cssでjavascriptを使用]（https://stackoverflow.com/questions/1204273/using-javascript-in-css）
• ]（http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html）