javascript - Is a XSS attack possible when the point of injection is the value of the style attribute? -

उदाहरण कोड:

  & lt;! DOCTYPE html & gt; & Lt; html lang = "en" & gt; & Lt; सिर & gt; & lt; शीर्षक & gt; एक्सएसएस परीक्षण पृष्ठ & lt; / title & gt; & lt; / head & gt; & LT; बॉडी & gt; & Lt; p & gt; & Lt;? Php $ style = htmlspecialchars ($ _ GET ['शैली']); गूंज '& lt; div शैली = "'। $ शैली।" "Gt; यह एक शैली का परीक्षण है & lt; / div & gt; '; ? & Gt; & Lt; / p & gt; & Lt; / body & gt; & Lt; / html & gt;   
 क्या जावास्क्रिप्ट कोड को इंजेक्ट करना संभव है, लेकिन कुछ भी नहीं है लेकिन ठीक तरह से एस्केप किया गया HTML शैली विशेषता?  
 मैंने सुना है कि सीएसएस के माध्यम से एक्सएसएस हमलों को चालू करना संभव है (, )।  
 मैं सोच रहा था कि यह केवल शैली विशेषता के द्वारा ही संभव था।   
  itemprop = "text"> 
 मैंने पहले से ही इस प्रश्न के टिप्पणी-अनुभाग में इसे इंगित किया है, लेकिन मुझे लगता है कि यह वास्तव में एक वास्तविक उत्तर के रूप में बेहतर है।  
  सीएसएस   
 वास्तविक XSS- खतरे के अलावा, आपके पृष्ठ पर स्टाइल-टैग के लिए यूज़र-इनपुट गुजर रहा है, हमलावरों के लिए अन्य अवसरों का पूरा सेट खोलता है, कुछ सादे सीएसएस के उपयोग से।  
 तत्व को सेट करके  स्थिति: निरपेक्ष; , आपके पूरे पृष्ठ को इसके साथ ओवरले कर सकता है। इसका उपयोग केवल इसे अनुपयोगी (उदाहरण के लिए  opacity: 0; ) के साथ करने के लिए किया जा सकता है या कोई हमलावर पूरे पेज के डिफेसेमेंट के लिए इसका इस्तेमाल कर सकता है CSS3 के गुणों जैसे : से पहले  और : के बाद  का उपयोग करके, वे सीएसएस के माध्यम से आपके पेज पर सामग्री डालने में भी सक्षम हैं।  
 एक अन्य परिणाम हो सकता है "क्लिक-जैकिंग", यह वास्तव में पहले से ही चर्चा की गई थी।  
  XSS   
 यद्यपि शुद्ध XSS की बात आती है, लेकिन इसका उपयोग करना मुश्किल होगा आधुनिक ब्राउज़रों, फिर भी मैं यह नहीं कहूंगा कि यह असंभव है किसी भी तरह, पुराने ब्राउज़र जैसे, उदाहरण के लिए, Internet Explorer 7, यह किसी हमले के लिए इस्तेमाल किया जा सकता है। बहुत ही रचनात्मक एक्सएसएस-इंजेक्शन रहे हैं, जहां इनपुट-वैधीकरण को छेड़ने के पागल तरीकों में ढंका और डिकोड किया गया था, जो अभी भी कई (पुराने) पुराने ब्राउज़र्स पर सफल होगा क्योंकि वे अभी भी पार्सिंग कर रहे थे। इसके बारे में आधुनिक ब्राउज़रों पर बातों को बहुत बेहतर माना जाता है।  
 Additionaly, वहां जहां  अभिव्यक्ति ()  और  background-image: url  जैसी फ़ंक्शन की गई PHP, IE7 और पुराने और शायद कुछ अन्य ब्राउज़रों के पुराने संस्करणों के लिए सीएसएस में स्क्रिप्ट निष्पादन संभव है।  
 वास्तव में एक उदाहरण की सूची है, जहां इन कार्यों का उपयोग शैली-टैग और शैली-विशेषताओं में किया जाता है।  
  स्क्रिप्टील हमलों  (आधुनिक ब्राउज़रों पर भी काम कर सकता है!)  
 पुराने ब्राउज़रों और एक्सएसएस को एक तरफ रखकर, वहां अन्य तरीकों से भी लागू हो सकते हैं जो अधिकतर "स्किस्लेप्ट हमलों" का रूप विस्तार में जाकर यहां क्षेत्र को विस्फोट कर दिया जाएगा, लेकिन एक भी है, यहां तक ​​कि आधुनिक तरीकों से भी प्रभावित होने के कई तरीके और अच्छे उदाहरण प्रदान किए जा सकते हैं। एक और उदाहरण होगा जहां सीएसएस का प्रयोग क्रॉस साइट अनुरोध जालसाजी के लिए किया गया था। (लिंक्स प्रदान करने के लिए @ बेंजामिनग्रीनबाम के लिए बहुत बड़ा धन्यवाद)  
 अंत में, स्क्रिप्ट सम्मिलन की बात कब आती है, मैं समझता हूं कि कैसे कपटपूर्ण चालाक हमलावरों को प्राप्त हो सकता है, उदाहरण के लिए, "आईई 7 और फ़ायरफ़ॉक्स पर (कोई संस्करण नहीं दिया गया है)" पर काम करने के लिए कहा गया एक सुंदर भी कहा गया है।।  
 इस तरह, ऐसा करते समय वास्तव में अच्छी तरह से देखें, लोगों को अभी भी एक रास्ता मिल सकता है ..