W Internet Explorer, Firefox i innych przeglądarek można osadzić JavaScript, CSS, określając javascript:
URL w oświadczeniu url()
CSS.
Nawet jeśli uda ci się je odfiltrować, osoba atakująca może całkowicie przeprojektować stronę (w tym całą zawartość tekstową) za pomocą zaawansowanego CSS. Dlatego niezwykle łatwo jest nakłonić użytkowników do wykonania głupich działań, o czym jest XSS. Na przykład możesz ustawić przycisk Delete Account
w całym oknie i zmienić jego tekst na "Kliknij tutaj, aby wygrać 1000 $".
Można biało-lista kilka wybranych właściwości (text-*
, font-*
, color
, background
(tylko kolory i gradienty, żadnych adresów URL lub inne fantazyjne rzeczy)), ale musisz odrzucić wszystko, co nie pasuje do tych ograniczeń .
Prawdopodobnie najgorszy IE kiedykolwiek. –
@Amir Raminfar: Myślę, że to krótsza lista, która wymieniłaby to, co IE zrobił dobrze. Zacznę: pozwala mi pobrać prawdziwą przeglądarkę. – Robert
Czy istnieje garstka słów kluczowych CSS, które mogę zablokować, aby zapobiec wykonaniu i wypełnieniu elementów nową treścią? – Tom