例子:
<!DOCTYPE>
<html lang="en">
<head>
<title>XSS test</title>
<style>
div {
background-color:red;
height:100px;
width:100px;
}
</style>
</head>
<body>
<div></div>
</body>
</html>
是否可以使用内部样式标签注入(inject) JavaScript
代码?我听说可以通过 CSS
触发 XSS
攻击。
最佳答案
是的,由于后者支持 URL,JavaScript 甚至可以通过 CSS 执行。通常,您可以通过任何允许您指定 URL 的机制来执行 JavaScript,因为有 javascript:
和 data:
伪 URL。因此,有许多通过 CSS 工作的跨站点脚本向量。例如:
<style>p[foo=bar{}*{-o-link:'javascript:alert(1)'}{}*{-o-link-source:current}*{background:red}]{background:green};</style>
更多内容可在 Mario Heiderich 网站上找到 http://heideri.ch/jso/#css
关于javascript - 是否有可能在具有内联样式的样式标签上受到 XSS 攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19676080/