我们正在进行安全评估.
恶意用户有可能将任意CSS注入其他用户的网页,尽管我们不确定它是否真的可以被利用.
我知道他可以完全改变页面外观,甚至根本不会显示任何内容.这就是全部?可能发生的最坏情况是什么?JavaScript可以嵌入CSS吗?他可以"窃取"其他用户的cookie吗?并开始另一场会议?
看看这里:
终极XSS CSS注入
HTML/CSS注入 - 原始恶意代码(或者,可能发生的最坏情况是什么?)
OWASP上的XSS预防备忘单
京公网安备 11010802040832号 | 京ICP备19059560号-6 