javascript – CSS注入:可能发生的最糟糕的是什么?

我们正在进行安全评估。

恶意用户有机会将任意的CSS注入到其他用户的网页中,尽管我们不确定它可以被实际利用。

我明白他可以完全改变页面外观,甚至没有什么可以显示的。这就是全部?
可能发生的最糟糕的是什么? JavaScript可以嵌入CSS吗?他可以“窃取”其他用户的cookies吗?并启动另一个会话?

转载注明原文:javascript – CSS注入:可能发生的最糟糕的是什么? - 代码日志