クロスサイト スクリプティング: CSS スタイルシートの潜在的な危険性を明らかにする

クロスサイト スクリプティング (XSS) は、重大なリスクをもたらす一般的な脆弱性です。悪意のある攻撃者が正規の Web ページに悪意のあるコードを挿入できるようにすることで、Web アプリケーションに悪影響を及ぼします。一般に HTML や JavaScript と関連付けられていますが、CSS スタイルシートを悪用して XSS 攻撃を実行することも可能です。

CSS スタイルシートはクロスサイト スクリプティングに使用できますか?

答えははっきりとした「はい」です。 CSS スタイルシートは、主に視覚要素のスタイリングを目的としていますが、特定の条件下で悪意のあるコードを実行するように操作される可能性があります。

CSS スタイルシート経由で XSS を実行する方法

いくつかあります。 CSS スタイルシートで XSS を悪用するテクニック:

• Expression() Function: Internet Explorer などのブラウザでは、スタイルシート内でexpression() 関数を使用して、任意の JavaScript コードを実行できます。
• URL('javascript:...') ディレクティブ: 一部の CSS プロパティ。 「アニメーション」および「トランジション」として、JavaScript を実行するための url('javascript:...') ディレクティブの使用をサポートします。コマンド.
• ブラウザ固有の機能: Firefox などの特定のブラウザは、CSS スタイルシートからの JavaScript の実行を容易にする -moz-binding などの特殊な機能を提供します。

影響

CSS スタイルシート経由で XSS を悪用する機能が拡張悪意のあるアクターの攻撃対象領域。外部スタイルシートに悪意のあるコードを含めることにより、攻撃者は、同一生成元ポリシーに関係なく、それらのスタイルシートを参照するあらゆる Web サイトを標的にすることができます。これにより、機密データの流出、セッション ハイジャック、そして最終的にはウェブサイトの侵害につながる可能性があります。

CSS XSS 攻撃からの保護

CSS XSS 攻撃から保護するには、開発者は次のことを行う必要があります。次の対策を実施します:

• コンテンツ セキュリティ ポリシー (CSP) を使用します: CSP を使用すると、開発者はスタイルシートをロードできるソースを制限できます。
• CSS 入力のサニタイズ: 信頼できない CSS コードをアプリケーションに組み込むことは避けてください。検証およびフィルタリングのメカニズムを実装して、悪意のあるコンテンツを削除します。
• スタイルシートでの JavaScript の実行を無効にする: 可能であれば、ブラウザの設定を変更して、CSS スタイルシートからの JavaScript の実行を無効にします。
• ブラウザの脆弱性について常に最新の状態を保つ: ブラウザの更新に定期的にパッチを適用して、新たに発見された脆弱性に対処します。 CSS XSS 攻撃に悪用されます。