|
阅读:1548回复:2
请教,关于 CSS Exfil Protection 扩展
我是看这篇文章,知道的:https://www.appinn.com/css-exfil-protection/
楼主是技术小白+纯外行,技术细节也看不懂,所以如果说错,请大家宽容,纠正就好了 我感觉,如果真有安全风险,难道不应该 浏览器厂商 和 网站方 去修补吗? 不可能把安全重任,寄希望于用户安装一个扩展上吧? 那那些没有及时收到提醒的用户,难道就暴露于危险之下吗? 从这个理由上说,不可能啊。 所以我觉得,只要不随便点击陌生链接、访问危险网站,那么,不安装这个扩展,应该也没问题吧? 有专家大佬能用 Explain Like I'm 5 的程度,解释下这个攻击是怎么一回事吗?这个扩展有必要安装吗?谢谢  |
|
|
1楼#
发布于:2019-04-04 20:56
这是css规范允许的行为,而浏览器遵照了css规范,自然也允许这种攻击发生。
攻击能成立的另一个原因是网站自身的设计存在问题/隐患。比如本站,个人设置里的各种个人信息,是直接通过value属性嵌入到网页里的,就能被这种攻击手段获取。而登录页面的用户名和密码是要手动输入,就免疫这种攻击方式。 |
|
|
2楼#
发布于:2019-04-04 15:51
没必要安装。
看了一下说明 https://www.mike-gualtieri.com/posts/stealing-data-with-css-attack-and-defense 利用css选择器枚举你输入的字符,然后调用第三方服务器的文件使其知道你的密码,一种xss攻击。更多的是网页被篡改的结果,跟用户端关系不大。不过说白了网页被改动过你还要登陆也用不着这个办法偷你的账户。 PS: firefox 66.0.3+uBo表示根本看不见那个测试页面的图片 |
|
