我们正在进行安全评估。
恶意用户有可能将任意CSS注入其他用户的网页,尽管我们不确定它是否真的可以被利用。
我知道他可以完全改变页面外观,甚至根本不会显示任何内容。这就是全部? 可能发生的最坏情况是什么? JavaScript可以嵌入CSS吗?他可以“窃取”其他用户的cookie吗?并开始另一场会议?
答案 0 :(得分:17)
看看这里:
答案 1 :(得分:2)
对以上所有内容都是肯定的。注入任意CSS可能导致javascript执行。看看:
可能发生的最糟糕的事情取决于环境。在某些情况下,窃取会话cookie和访问用户会话可能是最糟糕的事情(例如,银行,在线股票交易),这可能不适合您的情况。其他攻击的例子是获得对浏览器的控制权,获得对客户端机器的访问权等。