[Day18] 只用 CSS 也能攻擊？CSS injection（下）

n1ctf就出了一道css注入的题，可惜当时根本没学到这

[Day18] 只用 CSS 也能攻擊？CSS injection（下）

记录一下踩过的坑 返回的content-type必须设置为text/css import url最...

[Day18] 只用 CSS 也能攻擊？CSS injection（下）

嗯嗯，这些问题解决了，但是border-background好像是用不了的，我查了一下google，...

[Day18] 只用 CSS 也能攻擊？CSS injection（下）

[Day18] 只用 CSS 也能攻擊？CSS injection（下）

from flask import Flask, render_template,request,m...

[Day18] 只用 CSS 也能攻擊？CSS injection（下）

而且对于import里面的url他是会先hang住的，但是他貌似要全部加载完import里面的url...

[Day7] XSS 的第二道防線：CSP

用上unsafe-inline可以了,感谢

[Day14] 利用原型鏈的攻擊方式：Prototype Pollution

网不好，发多了😂