“`

#### Fuzzing

CSS的解析规则与HTML和JavaScript在几个方面不同。

JavaScript在语法错误的时候，整个代码都会被忽略，而CSS解析错误时，浏览器尝试忽略错误的代码。

这点上跟HTML比较类似，因为HTML语法错误时，浏览器会尝试修复并展现出来，

@符号用来在CSS样式表中定义一个特殊属性，定义字符集（@charset）或者media的样式（@media）。

导入外部样式（@import）或外部字体（@font-face）或命名空间（@namespace）或定义一个演示文件（@page）。

定义字符集的时候，可以定义一个多字节字符集（如：SHIFT-JIS，BIG5，EUC-JP，EUC-KR或GB2312）可能会使反斜线失效：

“`
@charset “GB-2312″;
*{
content:”a%90\”; color:red; z:k”;
}

“`

会解析为：

“`
@charset “GB-2312″;
*{
content:”a撞”; color:red; z:k”;
}

“`

还有一种时UTF-7字符：

“`
@charset “UTF-7″;
*{
content:”a+ACIAOw- color:red; z:k”;
}

“`

会解析为：

“`
@charset “UTF-7″;
*{
content:”a”; color:red; z:k”;
}

“`

定义@charset在IE中并非这一种定义UTF-7的方式：

“`
+/v8-
*{
content:”a+ACIAOw- color:red; z:k”;
}

“`

在一些浏览器中导入的时候可以定义字符集：

“`

“`

CSS的选择器是非常有趣的部分，他可以包含字符串，表达式，函数。选择器也可以由多行组成：

CSS中的声明时一个 属性/值 对里面的规则集，通常形式如下：

“`
property: value;

“`

property是一个关键字，包括字母数字破折号，和大于0x7F的字符，也有绕过的方式：

“`
-moz-binding与\2d moz\2d binding相等。

“`

IE中property没有严格遵守这个规则，如果一个属性包含多个字，只有第一个字将被使用，其他的都会忽略：

“`
a b c: value;
a: value;

“`

上面两个规则是等效的。 并且IE中:可以替换为=

“`
a = value;
a: value;

“`

上面两个也是等效的。

同样重要的是IE允许多行的字符串，URL，选择器。

CSS最明显的局限性是，他本身不是一种编程语言，而是一种语言风格，他没有任何的编程逻辑。

他很难不借助于JavaScript进行攻击，下面主要讨论的是完全基于CSS不依赖于其他脚本语言的攻击。

整体的逻辑：

“`
element:condition{
action;
}

“`

element可以为任意值，condition为CSS选择器，如:visited，:active，:hover，:selected。 事件选择器：

“`
1 :hover 悬停鼠标在一个元素。
2 :active 点击一个元素。
3 :focus 光标放在一个元素上。

“`

CSS造成点击劫持：

“`

“`

点击劫持的防御方法一是添加X-FRAME-OPTIONS:NEVER头，另外一种方式是利用JavaScript：

“`

“`

两种方式都有局限性，之前发过点击劫持的文档了，详见：[http://drops.wooyun.org/tips/104](http://drops.wooyun.org/tips/104)

如下代码是一个有效的CSS2的代码，并且在Firefox，Safari，Chrome，Opera，IE7，IE8，IE9中没有影响，但是在IE6中，可执行代码：

“`

“`

以下代码中的color可以编码为c\olor，\c\o\l\or，c\6f l\06f r 。

“`
*{
color: red;
}

“`

### 浏览器脚本语言

* * *

解析javascript的时候以下两段代码不相同：

| 代码一 | 代码二 |
| — | — |
| &#x3cscript> var my_variable1 = 1; var my_variable2 = &#x3c/script> &#x3cscript> 2; &#x3c/script> | &#x3cscript> var my_variable1 = 1; var my_variable2 = 2; &#x3c/script> |

这是因为`

```

出于历史原因，某些HTML元素`（，

，，