-
https://www.ghacks.net/2019/04/02/protect-yourself-against-a-pure-css-data-stealing-attack-called-exfil/扩展也有https://addons.mozilla.org/en-US...全文
◆
◆
-
yfdyh000: userstyle不是普遍情况。userstyle获取后能做什么,可以发出去?用户脚本和扩展有更高风险与可行性。(2019-04-05 20:47)
-
taoww: 这种攻击针对的不仅仅是用户手动输入内容,也不仅仅是某些框架的问题。那篇blog确实有些夸大的地方,但从原理上不仅仅能做键盘记录,还可以造成个人资料/隐私泄漏 非常多的网站,用户的个人信息页面上的数据都是用value属性直接置入到html中的,本站就是个例子。普遍的认知是只有通...(2019-04-05 11:57)
-
yfdyh000:https://bugzilla.mozilla.org/show_bug.cgi?id=1531601 有报告。 根据内容,该问题早有人提出并讨论过。https://github.com/w3c/csswg-drafts/issues/2339 机翻+少许润色:【我认为这篇博...(2019-04-04 21:16)
-
taoww:这是css规范允许的行为,而浏览器遵照了css规范,要处理就必然会破坏对规范的兼容度。 就算浏览器端要去处理,也不会按照那个扩展的方式,它那样做对性能影响很大。更可能直接仿照当年处理:visited的方式那样,对用[value]的css规则一禁了之。毕竟正常站点应该没有这么用的。(2019-04-04 21:05)
