CSS スタイルシートのクロスサイト スクリプティングについて
クロス サイト スクリプティング (XSS) は、攻撃者が悪意のあるコードを Web に挿入できるようにする悪意のある手法です。ページにアクセスすると、ユーザー データとシステム セキュリティが侵害される可能性があります。 XSS は JavaScript に関連付けられることが多いですが、CSS スタイルシートの脆弱性を悪用することも可能です。
CSS スタイルシートで XSS はどのように可能ですか?
CSS スタイルシートは通常、 Web ページによって参照される外部ファイルで定義されます。この外部リンク メカニズムは、参照されているスタイルシートが侵害された場合に脆弱性を引き起こす可能性があります。
ブラウザのセキュリティ ハンドブックで概説されているように、CSS スタイルシート内で悪意のある JavaScript を実行する方法はいくつかあります。
さらに、 Firefox では、XBL (Extensible Binding Language) を使用して、CSS 経由で JavaScript をページに挿入できます。ただし、この方法では、XBL ファイルが同じドメインに存在する必要があります (回答で言及されている StackOverflow スレッドに記載されているように)。
CSS のその他の悪用
XSS とは直接関係ありませんが、別のテクニックについて言及する価値があります。それは、CSS パーサーを悪用して、さまざまなドメインからコンテンツを盗むことです。これについては、「汎用クロスブラウザー クロスドメイン」の記事で説明されています。
CSS での XSS からの保護
CSS の XSS 脆弱性を軽減するには、Web サイト開発者は次のことを行う必要があります。
以上がCSS スタイルシートを介してクロスサイト スクリプティング (XSS) を悪用するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
