Comments 5
Как защититься от таких атак: CSP.
TL;TR: допустим, мы имеем доступ на запись к целевой *ML-странице и можем встроить в нее вызов любого скрипта с любого хоста. Но это скучно - давайте лучше вызовем из страницы легитимный CSS, а уже из него - вредоносный скрипт. Вот вам и еще один нетрадиционный способ удаления гланд!
Если content security policy закрыл возможность внедрения скриптов (по хешам, нонсам или доменам), то.. Как говорится – с паршивой овцы хоть шерсти клок!
Всякие стили на целые совершения *ab
не так интересны, кмк тут проще на каждый допустимый символ сделать стиль и дальше про таймлайну вызова судить о порядке ввода; бажить, конечно, будет, но это сильно лучше 🤪
А причём тут CSS и разработчики? Чисто инфраструктурная штука, притом из азов
CSS и безопасность данных