Javascript-форум (https://javascript.ru/forum/)
-   Events/DOM/Window (https://javascript.ru/forum/events/)
-   -   Выполнить скрипт в атрибуте style (https://javascript.ru/forum/events/23492-vypolnit-skript-v-atribute-style.html)

foreach 25.11.2011 16:55
Выполнить скрипт в атрибуте style
 
Насколько реально выполнить свой скрипт в атрибуте style какого нибудь тега html?
Работаю с CodeIgniter php framework для написания серверного кода. Есть на сайте добавление статей пользователями. Редактор wysiwyg тегам подставляет стили в виде 
style="font-weight:bold"
или
style="color:rgb(255,255,0)"

У пхп фреймворка есть особенность, в целях безопасности удаляет атрибуты style.
Вот меня и интересует вопрос, реально ли в атрибутах исполнять скрипты?
Я попробовал ничего не исполняется.
<DIV STYLE="width: expression(alert('XSS'));"></div>

melky 25.11.2011 19:51
не припомню что-то JS в стилях, кроме как в экспрешенах для IE


.. вы в ie проверяли этот код?

foreach 25.11.2011 22:37
Да во всех кроме хрома проверял. 
<div style="width: expression(alert('Hello Xss!'));">
            TODO write content
        </div>
        <div style="width: expression(alert('Я здесь был'));">
            
        </div>
        <a class="XSS" href="#">ааа</a>


<style>
            .XSS{
                background-image:url("javascript:alert(Я здесь был);");
            }
        </style>

не исполняется. Файрбаг показывает как текст. Тестил в FF8, Opera11.x, Safari5, IE7

foreach 27.11.2011 15:03
Нашел. Такие конструкции исполняются в IE6 и ниже. Совсем этот браузер выпустил из вида.


Часовой пояс GMT +3, время: 17:28.