नहीं। इस उदाहरण पूरी तरह से दिखाता है के रूप में, जावास्क्रिप्ट (या किसी भी पटकथा) सीएसएस में कोई जगह नहीं है, इसलिए XSS (दूसरा एस है 'स्क्रिप्टिंग' के लिए) संभव नहीं है। सीएसएस केवल घोषणात्मक होना चाहिए, और जब डब्ल्यू 3 मानकों के अनुरूप लागू किया जाता है। डायनामिक एक्सप्रेशन अब calc
के साथ किए गए हैं जो जेएस इंजन का उपयोग किए बिना सरल गणितीय अभिव्यक्तियों का मूल्यांकन कर सकते हैं।
expression
विशिष्ट सुविधाओं को सुविधाजनक बनाने के लिए एक आईई-केवल हैक था जब तक कि W3 वैकल्पिक विकल्प के साथ नहीं आया। calc
दिखाई देने के साथ, expression
हटा दिया गया था। आईई 11, expression
is no longer supported in the Internet Zone से शुरू हो रहा है। यह announced in 2008 था कि यह इस कारण खत्म हो जाएगा, विशेष रूप से 'हमले की सतह को कम करने के लिए' को मुख्य कारणों में से एक के रूप में उद्धृत करेगा। IE11 की तुलना में पुराने संस्करणों में यह पहले से ही थोड़ी देर के लिए रहा है केवल क्विर्क मोड और आईई 7 इम्यूलेशन मोड में समर्थित है।
संक्षेप में: सीएसएस के पास जावास्क्रिप्ट के लिए कोई जगह नहीं है, और इस तरह XSS के साथ हमला नहीं किया जा सकता है जब यह हर मौजूदा ब्राउज़र में ठीक से लागू होता है।
स्रोत
2014-09-01 20:54:23
यदि HTML गतिशील रूप से पाठ के रूप में बनाया गया है और स्टाइल विशेषता (उदाहरण) के लिए उपयोग किया गया डेटा बच नहीं गया है तो HTML-इंजेक्शन अभी भी संभव है; लेकिन मुझे संदेह है कि यह नहीं पूछा जा रहा है कि क्या किया जा रहा है। – user2864740
क्या आप समझा सकते हैं कि इसका उपयोग करने के लिए आप क्या चाहते हैं? विकल्प हो सकते हैं। – easwee