我们正在进行安全评估。
恶意用户有机会将任意的CSS注入到其他用户的网页中,尽管我们不确定它可以被实际利用。
我明白他可以完全改变页面外观,甚至没有什么可以显示的。这就是全部?
可能发生的最糟糕的是什么? JavaScript可以嵌入CSS吗?他可以“窃取”其他用户的cookies吗?并启动另一个会话?
看看这里:
> Ultimate XSS CSS injection
> HTML/CSS Injections – Primitive Malicious Code (or, What’s the worst that could happen?)
> XSS Prevention Cheat Sheet在OWASP
相关文章
转载注明原文:javascript – CSS注入:可能发生的最糟糕的是什么? - 代码日志