मैं जानना चाहता था कि आधुनिक ब्राउज़र पर सीएसएस स्टाइल एक्सएसएस प्राप्त करने का कोई तरीका है या नहीं?क्या आधुनिक ब्राउज़र में सीएसएस एक्सएसएस प्राप्त करने का कोई तरीका है?
उदाहरण के लिए, पुराने IE पर ब्राउज़र निम्नलिखित अतिसंवेदनशील है:
<div style="width:expression(prompt('XSS'))">
नहीं। इस उदाहरण पूरी तरह से दिखाता है के रूप में, जावास्क्रिप्ट (या किसी भी पटकथा) सीएसएस में कोई जगह नहीं है, इसलिए XSS (दूसरा एस है 'स्क्रिप्टिंग' के लिए) संभव नहीं है। सीएसएस केवल घोषणात्मक होना चाहिए, और जब डब्ल्यू 3 मानकों के अनुरूप लागू किया जाता है। डायनामिक एक्सप्रेशन अब calc के साथ किए गए हैं जो जेएस इंजन का उपयोग किए बिना सरल गणितीय अभिव्यक्तियों का मूल्यांकन कर सकते हैं।
expression विशिष्ट सुविधाओं को सुविधाजनक बनाने के लिए एक आईई-केवल हैक था जब तक कि W3 वैकल्पिक विकल्प के साथ नहीं आया। calc दिखाई देने के साथ, expression हटा दिया गया था। आईई 11, expression is no longer supported in the Internet Zone से शुरू हो रहा है। यह announced in 2008 था कि यह इस कारण खत्म हो जाएगा, विशेष रूप से 'हमले की सतह को कम करने के लिए' को मुख्य कारणों में से एक के रूप में उद्धृत करेगा। IE11 की तुलना में पुराने संस्करणों में यह पहले से ही थोड़ी देर के लिए रहा है केवल क्विर्क मोड और आईई 7 इम्यूलेशन मोड में समर्थित है।
संक्षेप में: सीएसएस के पास जावास्क्रिप्ट के लिए कोई जगह नहीं है, और इस तरह XSS के साथ हमला नहीं किया जा सकता है जब यह हर मौजूदा ब्राउज़र में ठीक से लागू होता है।
"आईई में अब संभव नहीं होना चाहिए" या "संभव नहीं होना चाहिए" (जैसा कि "संभव नहीं है" के विपरीत)। – user2864740
जैसा कि कहा गया है, सार्वजनिक साइटों में 'अभिव्यक्ति' के लिए समर्थन आईई 11 में पूरी तरह से गिरा दिया गया था, और कुछ वर्षों तक गंभीर रूप से सीमित रहा है। इसलिए, बग और अज्ञात शोषण को छोड़कर, यह संभव नहीं होना चाहिए। –
यदि HTML गतिशील रूप से पाठ के रूप में बनाया गया है और स्टाइल विशेषता (उदाहरण) के लिए उपयोग किया गया डेटा बच नहीं गया है तो HTML-इंजेक्शन अभी भी संभव है; लेकिन मुझे संदेह है कि यह नहीं पूछा जा रहा है कि क्या किया जा रहा है। – user2864740
क्या आप समझा सकते हैं कि इसका उपयोग करने के लिए आप क्या चाहते हैं? विकल्प हो सकते हैं। – easwee