来自浏览器安全手册
Javascript执行的风险。作为一个鲜为人知的功能,某些CSS实现允许将Javascript代码嵌入样式表中。至少有三种方法可以实现此目标:使用expression(…)指令,该指令可以评估任意Javascript语句并将其值用作CSS参数;通过在支持它的属性上使用url(’javascript:…’)指令;或通过调用特定于浏览器的功能(例如Firefox的-moz->binding机制)。
…阅读完之后请参阅在CSS中使用Javascript。在Firefox中,您可以使用XBL通过CSS在页面中注入Javascript。但是,由于已修复错误324253,因此XBL文件必须位于同一域中。
还有另一种有趣的(尽管与您的问题有所不同)滥用CSS的方法。本质上,您滥用CSS解析器来窃取来自其他域的内容。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)