クロスサイト スクリプティング (XSS) は CSS スタイルシートでどのように発生するのでしょうか?また、それを防ぐにはどうすればよいですか?

CSS スタイルシートでのクロスサイト スクリプティング

クロスサイト スクリプティング (XSS) は、攻撃者が悪意のあるコードをシステムに挿入できるようにする手法です。 Web ページを訪問したユーザーが実行できるようになります。 CSS スタイルシートは通常、ページの外観を定義するために使用されますが、悪意のあるコードを挿入するために使用することも可能です。

CSS スタイルシートではどのように XSS が可能ですか?

CSS スタイルシートに悪意のあるコードを挿入する方法はいくつかあります。 1 つの方法は、expression(...) ディレクティブを使用することです。これにより、任意の JavaScript ステートメントを評価し、その値を CSS パラメーターとして使用できます。もう 1 つの方法は、それをサポートするプロパティで url('javascript:...') ディレクティブを使用することです。最後に、Firefox の -moz-binding メカニズムなどのブラウザ固有の機能を呼び出して、悪意のあるコードを挿入することもできます。

CSS スタイルシートの XSS のリスクは何ですか?

CSS スタイルシートの XSS はさまざまな攻撃の実行に使用できます。以下を含む:

• ユーザー資格情報の窃取
• 悪意のある Web サイトへのユーザーのリダイレクト
• Web サイトの改ざん
• サービス拒否攻撃の開始

XSS を防ぐにはどうすればよいですかCSS スタイルシート?

CSS スタイルシートでの XSS を防ぐためにできることはいくつかあります。

• CSS スタイルシートを検証して、悪意のあるコードが含まれていないことを確認します。 .
• 式(...) ディレクティブを無効にします。ブラウザ。
• Web サイトに Content-Security-Policy ヘッダーを設定して、インライン スクリプトの実行を制限します。
• Web アプリケーション ファイアウォールを使用して、悪意のあるリクエストをブロックします。

追加リソース

• [ブラウザのセキュリティ]ハンドブック: CSS からの JavaScript の実行](https://www.owasp.org/index.php/Browser_Security_Handbook#JavaScript_execution_from_CSS)
• [CSS での JavaScript の使用](https://stackoverflow.com/questions/1204273 /using-javascript-in-css)
• [汎用クロスブラウザーのクロスドメイン CSS リクエストの欺瞞](http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html)

以上がクロスサイト スクリプティング (XSS) は CSS スタイルシートでどのように発生するのでしょうか?また、それを防ぐにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。