क्या सीएसएस स्टाइलशीट में क्रॉस साइट स्क्रिप्टिंग का उपयोग करना संभव है? उदाहरण के लिए एक संदर्भ स्टाइलशीट में दुर्भावनापूर्ण कोड होता है, तो आप यह कैसे करेंगे? मुझे पता है कि आप शैली टैग का उपयोग कर सकते हैं लेकिन स्टाइलशीट के बारे में क्या?सीएसएस स्टाइलशीट्स में क्रॉस साइट स्क्रिप्टिंग
उत्तर
से JavaScript निष्पादन का खतरा। एक छोटी सी विशेषता के रूप में, कुछ सीएसएस कार्यान्वयन जावास्क्रिप्ट कोड को स्टाइलशीट में एम्बेड करने की अनुमति देता है। इस लक्ष्य को प्राप्त करने के कम से कम तीन तरीके हैं: अभिव्यक्ति (...) निर्देश का उपयोग करके, जो मनमाने ढंग से जावास्क्रिप्ट कथन का मूल्यांकन करने और सीएसएस पैरामीटर के रूप में उनके मूल्य का उपयोग करने की क्षमता देता है; यूआरएल ('जावास्क्रिप्ट: ...') का उपयोग करके उन गुणों पर निर्देश जो इसका समर्थन करते हैं; या -moz-binding mechanism of Firefox जैसे ब्राउज़र-विशिष्ट विशेषताओं का आह्वान करके।
... और इसे पढ़ने के बाद, मुझे यह स्टैक ओवरफ्लो पर मिलता है। देखें Using Javascript in CSS फ़ायरफ़ॉक्स में, आप सीएसएस के माध्यम से किसी पृष्ठ में जावास्क्रिप्ट इंजेक्ट करने के लिए XBL का उपयोग कर सकते हैं। हालांकि, एक्सबीएल फ़ाइल एक ही डोमेन में रहनी चाहिए, अब bug 324253 is fixed।
सीएसएस का दुरुपयोग करने के लिए एक और दिलचस्प (हालांकि आपके प्रश्न से अलग) तरीका है। http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html देखें। अनिवार्य रूप से, आप किसी भिन्न डोमेन से सामग्री चोरी करने के लिए सीएसएस पार्सर का दुरुपयोग करते हैं। http://localhost/mutillidae/index.php?page=set-background-color.php
बेशक, आप स्थानीय रूप से पहले env सेटअप की जरूरत है:
हाँ अपनी कॉल Xsstc, इस लेख में और अधिक पढ़:
http://www.tralfamadore.com/2008/08/xsstc-cross-site-scripting-through-css.html
OWASP Mutillidae परियोजना पृष्ठ पर एक व्यापक स्टाइल इंजेक्शन भेद्यता उदाहरण है। आप डाउनलोड कर सकते हैं और यह नीचे दिए गए लिंक से सेट अप अपने स्थानीय होस्ट पर: https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project
यहाँ प्रासंगिक संकेत है: https://github.com/hyprwired/mutillidae/blob/master/includes/hints-level-1/cascading-style-sheet-injection-hint.inc
- 1. params.merge और क्रॉस साइट स्क्रिप्टिंग
- 2. सर्वश्रेष्ठ अभ्यास: वैध क्रॉस-साइट स्क्रिप्टिंग
- 3. link_to @variable क्रॉस साइट स्क्रिप्टिंग भेद्यता
- 4. किसी छवि से क्रॉस-साइट स्क्रिप्टिंग
- 5. एक्सएसएस (क्रॉस-साइट स्क्रिप्टिंग) को रोकना
- 6. mysql इंजेक्शन और क्रॉस साइट स्क्रिप्टिंग
- 7. क्रॉस-साइट स्क्रिप्टिंग हमले का एक साधारण उदाहरण
- 8. स्टाइलशीट्स
- 9. क्या मोबाइल सफारी में क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस) को अनुमति देना संभव है?
- 10. jQuery क्रॉस डोमेन iframe स्क्रिप्टिंग
- 11. एक्सएसएस (क्रॉस-साइट स्क्रिप्टिंग) हमले (जावा में) को पकड़ने के लिए सर्वश्रेष्ठ रेगेक्स?
- 12. एचटीटीपीएस से HTTP (स्टाइलशीट्स, जेएस, सीएसएस-स्प्राइट्स, आदि)
- 13. "क्रॉस-साइट स्क्रिप्ट अटैक" से कैसे बचें
- 14. ऑर्डरिंग वर्डप्रेस स्टाइलशीट्स?
- 15. क्रॉस-साइट अनुरोध स्ट्रेट्स टोकन
- 16. क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस): क्या मुझे एम्परसैंड से बचने की ज़रूरत है?
- 17. क्या सीएसएस स्टाइलशीट्स असीमित रूप से लोड की गई हैं
- 18. क्रॉस साइट से मेरी स्वयं की रक्षा पटकथा
- 19. आरईएसटी और सीएसआरएफ (क्रॉस-साइट अनुरोध फोर्जरी)
- 20. सीएसएस 3 क्रॉस ब्राउज़र अस्पष्टता
- 21. क्या ट्रिगर्स "इंटरनेट एक्सप्लोरर ने क्रॉस-साइट स्क्रिप्टिंग को रोकने में मदद के लिए इस पृष्ठ को संशोधित किया है।"
- 22. सफारी के साथ एचटीएमएल 5 एपकेच क्रॉस साइट सीएसएस लोड नहीं कर रहा है
- 23. स्क्रिप्टिंग एसवीजी
- 24. क्रॉस-ब्राउज़र सीएसएस के लिए आवश्यक "सीएसएस रीसेट" है?
- 25. हाथ सीएसएस अपनी साइट पर ठीक से
- 26. शेल स्क्रिप्टिंग में बूलियन
- 27. सीएसएस में एकाधिक छवि क्रॉस फ़ेडिंग - बिना (जावा) स्क्रिप्ट
- 28. क्रॉस-साइट पॉपअप से window.opener तक पहुंच कैसे प्राप्त करें?
- 29. स्टाइलशीट्स को प्रोग्रामिंग रूप से Asp.Net
- 30. दस्तावेज प्राप्त करें। स्टाइलशीट्स इंडेक्स के बजाय नाम से?
पर अभिव्यक्ति() के विकल्प की तलाश में था, मैंने उस पुस्तिका को सुना है लेकिन मुझे नहीं लगता कि यह पढ़ने योग्य है। अब मैं करता हूँ। जवाब के लिए धन्यवाद। :) तो IE8 मानक मोड में अभिव्यक्ति() का समर्थन नहीं करता है। (बस सोचा कि मैं उल्लेख करूँगा) – Johnny