javascript - attribute - Inyección de CSS: ¿qué es lo peor que puede pasar?
title css (2)
Echa un vistazo aquí:
Estamos haciendo una evaluación de seguridad.
Existe la posibilidad de que un usuario malintencionado pueda inyectar CSS arbitrario en las páginas web de otro usuario, aunque no estamos seguros de que pueda explotarse.
Entiendo que él podría cambiar totalmente el aspecto de la página, incluso haciendo que no se muestre nada. ¿Eso es todo? ¿Qué es lo peor que podría pasar? ¿Se puede incrustar JavaScript en CSS? ¿Puede él "robar" las cookies del otro usuario? ¿E iniciar otra sesión?
Sí a todo lo anterior. La inyección de CSS arbitrario puede llevar a la ejecución de javascript. Mirar:
Lo peor que podría pasar es depender del medio ambiente. En algunos casos, el robo de una cookie de sesión y el acceso a la sesión de los usuarios tal vez sea lo peor que puede pasar (por ejemplo, los bancos, el comercio de acciones en línea), este puede no ser el caso para su situación. Otros ejemplos de ataques serían obtener el control del navegador, obtener acceso a la máquina del cliente, etc.