]

сценарий кросс-сайта в CSS StyleSheets

сценарии Cross-Site (xss)-это техника, которая позволяет злоумышленнику внедрить вредоносное код в веб -страница, которая затем может быть выполнена пользователями, которые посещают страницу. Таблицы стилей CSS обычно используются для определения визуального внешнего вида страницы, но их можно использовать для введения и для инъекции вредоносного кода. &&&]

Есть несколько способов ввести вредоносный код в таблицу стилей CSS. Одним из способов является использование директивы выражения (...), которая позволяет вам оценивать произвольные операторы JavaScript и использовать их значение в качестве параметра CSS. Другой способ - использовать URL ('JavaScript: ...') Директива о свойствах, которые поддерживают его. Наконец, вы также можете вызвать особенности, специфичные для браузера, такие как -моз-связывающий механизм Firefox, внедрить вредоносный код.

каковы риски XSS в таблицах стилей CSS? &&&&]

xss в таблицах CSS StyleShips можно использовать для выполнения различных атак, включая:

кража учетных данных пользователя перенаправление пользователей на вредоносные веб -сайты

Определение веб-сайтов

, запускающего атаки отказа в службе услуги
, как вы можете предотвратить xss в стилях CSS? Вещи, которые вы можете сделать, чтобы предотвратить xss в таблицах стилей CSS, включая:
• , подтверждая таблицы стилей CSS, чтобы убедиться, что они не содержат вредоносного кода. В вашем браузере.

установите заголовок с политикой контент-безопасности на вашем веб-сайте, чтобы ограничить выполнение встроенных сценариев. ]

дополнительные ресурсы

[справочник по безопасности браузера: выполнение Javascript от css] (https://www.owasp.org/index.php/browser_security_handbook.

]
• [Использование Javascript в CSS] (https://stackoverflow.com/questions/1204273/using-javascript-in-css)
• [Generic Cross-Browser CrossDomain CSS Запрос дефека ] (http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-rrowser-cross-domain.html)
• ]