是否有可能在具有内联样式的样式标签上使用XSS进行攻击
Is it possible to be attacked with XSS on style tag which having inline styling?
示例:
<!DOCTYPE>
<html lang="en">
<head>
<title>XSS test</title>
<style>
div {
background-color:red;
height:100px;
width:100px;
}
</style>
</head>
<body>
<div></div>
</body>
</html>
是否可以使用内部样式标签注入JavaScript
代码?我听说可以通过CSS
触发XSS
攻击。
是的,JavaScript甚至可以通过CSS执行,这要归功于后者的URL支持。通常,您可以通过任何允许您指定 URL 的机制来执行 JavaScript,因为伪 URL javascript:
和data:
。因此,有许多跨站点脚本向量通过 CSS 工作。例如:
<style>p[foo=bar{}*{-o-link:'javascript:alert(1)'}{}*{-o-link-source:current}*{background:red}]{background:green};</style>
更多可以在马里奥·海德里希网站上找到 http://heideri.ch/jso/#css
相关文章:
- 当包含另一个asp文件时,是否也包含所有引用的样式和脚本页面
- 将样式表插入iframe
- 跟踪在页面加载时应用内联样式的JavaScript
- 如果文本字段为空,则使用JavaScript应用CSS样式
- 定义完全独立的样式信息
- W3C循环样式的JavaScript
- jQuery/JavaScript在线公文包表单-打印样式表
- 使用递归、Ramda.js和无点样式重构字符串的getPermutations()
- FF和Chromium中CSS样式按钮的外观差异
- 如何首先设置样式<td>表中包含在窗体中的元素
- javascript问题正文样式
- 使用具有内联样式的tidy-html5
- DataTables-创建自定义分页样式(加载更多样式)
- 具有所有样式的文本正在复制到可编辑文本区域
- 如何提供在javascript中编写对对象的重复访问以设置元素样式的简写
- 绑定Range输入以修改样式
- 如何防止在使用.val()时引入XSS漏洞
- 一个正则表达式,用于从JS中的HTML标记中删除id、样式和类属性
- 不同页面背景的body标记上的角度ng样式
- 是否有可能在具有内联样式的样式标签上使用XSS进行攻击