Можно ли использовать межсайтовый скриптинг в таблице стилей CSS? Например, справочная таблица стилей содержит вредоносный код, как бы вы это сделали? Я знаю, что вы можете использовать теги стилей, но как насчет таблиц стилей?
Из руководства по безопасности браузера
Риск выполнения JavaScript. В качестве малоизвестной функции некоторые реализации CSS позволяют встраивать код JavaScript в таблицы стилей. Есть по крайней мере три способа достичь этой цели: используя директиву expression(...), которая дает возможность оценивать произвольные операторы JavaScript и использовать их значение в качестве параметра CSS; используя директиву url('javascript:...') для свойств, которые ее поддерживают; или путем вызова специфичных для браузера функций, таких как механизм -moz-binding в Firefox.
... и, прочитав это, я нашел это на StackOverflow. См. Использование Javascript в CSS. В Firefox вы можете использовать XBL для внедрения javascript на страницу через CSS. Однако файл XBL должен находиться в том же домене, поскольку ошибка 324253 исправлена.
Есть еще один интересный (хотя и отличный от вашего вопроса) способ злоупотребления CSS. См. http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html. По сути, вы неправильно используете парсер CSS для кражи контента из другого домена.
да его зовут Xsstc , подробнее читайте в этой статье:
http://www.tralfamadore.com/2008/08/xsstc-cross-site- scripting-through-css.html