是否有可能感染CSS病毒,或者距离它更近? (=非病毒但对安全有害的东西)
它可以利用哪种安全漏洞?
CSS是一种浏览器端语言,在那里您能够执行有害代码的唯一方法是将文件重命名为.exe或.php之类的东西。
不是病毒,那是不可能的。唯一想到的是:
它滥用了您可以基于属性值选择元素的事实。
真的很聪明!
编辑:IE5.5中有一个已弃用的CSS属性(我认为),该属性允许您定义要在运行时执行的任意js。有人演示了您可以将整个jQuery放在属性值中,然后它就运行了。显然,这在今天不是很有用,但是很有趣。如果找到此消息,则将其添加到此响应中。
您无法通过CSS感染病毒。但这是一篇有趣的文章,介绍了如何用它来获取用户数据https://www.bleepingcomputer.com/news/security/css-code-can-be-abused-to-collect-sensitive-user-data/
您已经说过的答案是不可能的,是正确的,只要一切都按预期方式进行。
但是由于至少在安全方面,互联网上的所有内容都以一种或另一种方式被破坏(以及大多数其他代码),所以CSS肯定有可能成为一种恶意CSS的载体,它利用CSS解析器或CSS脚本内容执行中的安全漏洞。
然后,这当然不仅限于CSS,对于HTML / JS / images等也是如此,或基本上是来自不安全来源的任何输入都由计算机上的任何软件进行解析。
然后可以将从这些攻击媒介获得的访问权限用于注入或快速创建病毒。