javascript – CSS注入:可能发生的最糟糕的是什么?

时间:2018-07-14 标签:
我们正在进行安全评估。

恶意用户有机会将任意的CSS注入到其他用户的网页中,尽管我们不确定它可以被实际利用。

我明白他可以完全改变页面外观,甚至没有什么可以显示的。这就是全部?
可能发生的最糟糕的是什么? JavaScript可以嵌入CSS吗?他可以“窃取”其他用户的cookies吗?并启动另一个会话?

看看这里:

> Ultimate XSS CSS injection
> HTML/CSS Injections – Primitive Malicious Code (or, What’s the worst that could happen?)
> XSS Prevention Cheat Sheet在OWASP

http://stackoverflow.com/questions/718611/css-injection-whats-the-worst-that-can-happen

本站文章除注明转载外,均为本站原创或编译
转载请明显位置注明出处:javascript – CSS注入:可能发生的最糟糕的是什么?