CSS 스타일시트가 교차 사이트 스크립팅 공격을 활성화할 수 있습니까?

CSS 스타일시트가 크로스 사이트 스크립팅(Cross-Site Scripting) 공격을 호스팅할 수 있나요?

질문:

크로스 사이트 스크립팅(XSS)이 가능합니까? CSS 스타일시트를 통해 취약점이 악용됩니까? 그렇다면 인라인 스타일 태그가 아닌 악성 참조 스타일시트를 사용하여 어떻게 이를 달성할 수 있습니까?

답변:

브라우저 보안 핸드북에 따르면 CSS 구현은 실제로 세 가지 주요 방법을 통해 스타일시트 내에서 JavaScript 코드 실행을 허용합니다. 메소드:

1. Expression(...) 지시문: JavaScript 문을 평가하고 해당 반환 값을 CSS 매개변수로 활용합니다.
2. Url('javascript :...') 지시문: 이를 지원하는 속성에 JavaScript 코드를 삽입합니다. 지시문.
3. 브라우저별 기능: 예를 들어 Firefox의 -moz 바인딩 메커니즘은 CSS에서 JavaScript 호출을 허용합니다.

또한 StackOverflow 사용자는 XBL(Extensible Binding Language)을 사용하여 CSS를 통해 JavaScript를 Firefox의 페이지에 삽입할 수 있다는 점에 주목했습니다. 그러나 악용을 방지하려면 XBL 파일이 동일한 도메인에서 시작되어야 한다는 점은 언급할 가치가 있습니다.

또 다른 주목할만한 기술은 Scary Beast Security 블로그에 설명되어 있습니다. CSS 파서를 조작하면 다른 도메인에서 콘텐츠를 검색하는 것이 가능해집니다. 하지만 이는 크로스 사이트 스크립팅의 개념과는 약간 다릅니다.

위 내용은 CSS 스타일시트가 교차 사이트 스크립팅 공격을 활성화할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!