可以从链接的样式表中执行 XSS 攻击吗？

Question

可能的重复：
CSS 样式表中的跨站点脚本

我正在考虑允许用户创建自己的样式表CSS 通过链接样式表（不是嵌入样式标签）。可以从样式表执行 XSS 攻击吗？

谢谢

Answer 1

在 Internet Explorer 中，Firefox 和其他浏览器，您可以通过在 CSS 中指定 javascript: URL 来将 JavaScript 嵌入到 CSS 中url() CSS 语句。

即使您设法过滤掉这些内容，攻击者仍然可以使用高级 CSS 完全重新设计页面（包括其所有文本内容）。因此，欺骗用户执行愚蠢的操作变得非常容易，这就是 XSS 的含义。例如，您可以让删除帐户按钮填满整个窗口，并将其文本更改为“单击此处赢取 1000 美元”。

您可以将选定的几个属性列入白名单（text-*、font-*、color、background（只有颜色和渐变，没有 URL 或其他花哨的东西）），但您必须拒绝任何不符合这些限制的内容。

Answer 2

有趣的问题。我可以想象样式表能够删除或隐藏可能存在安全问题的元素。您还可以使用 :after 和 :before 在某个元素之后插入文本，因此您可能需要小心这一点。

或者，我认为您应该首先包含他们的样式表，这样他们就不会突然更改您的所有字体或全局内容。

Answer 3

这些都是老黑客，但可能仍然可以在旧浏览器中工作，例如您可以将 javascript 协议放在 href attr 中。

http://ha.ckers.org/xss.html
（搜索风格）