Internet Explorer, Firefox और अन्य ब्राउज़रों में आप एक url()
सीएसएस बयान में एक javascript:
URL को निर्दिष्ट करके सीएसएस में जावास्क्रिप्ट एम्बेड कर सकते हैं।
भले ही आप इन्हें फ़िल्टर करने का प्रबंधन करते हैं, फिर भी हमलावर उन्नत सीएसएस के साथ पृष्ठ (इसकी सभी पाठ्य सामग्री सहित) को पूरी तरह से फिर से डिजाइन कर सकता है। इसलिए, उपयोगकर्ताओं को बेवकूफ कार्यों को निष्पादित करने के लिए चाल करना बेहद आसान हो जाता है, जो एक्सएसएस के बारे में है। उदाहरण के लिए, आप Delete Account
बटन को पूरी विंडो भर सकते हैं और अपना टेक्स्ट "1000 $ जीतने के लिए यहां क्लिक करें" में बदल सकते हैं।
आप कर सकते हैं सफेद सूची कुछ चुनिंदा गुण (text-*
, font-*
, color
, background
(केवल रंग और ढ़ाल, कोई URL या अन्य फैंसी सामान)), लेकिन आप कुछ भी है कि इन प्रतिबंधों से मेल नहीं खाता अस्वीकार करना होगा ।
संभवतः सबसे खराब आईई कभी किया था। –
@ एमीर रामिनफर: मुझे लगता है कि आईई ने सही काम करने के लिए यह एक छोटी सूची होगी। मैं शुरू करूंगा: मुझे एक वास्तविक ब्राउज़र डाउनलोड करने की अनुमति देता है। – Robert
क्या कुछ सीएसएस कीवर्ड हैं जो मैं निष्पादन को रोकने और नई सामग्री वाले तत्वों को भरने के लिए ब्लैकलिस्ट कर सकता हूं? – Tom