WEB安全第七课 层叠样式表 之二 重新同步的风险

        CSS语言无疑深受HTML的影响，所以它和大多数其他语言不同的地方在于，符合规范的CSS解析器在碰到语法错误时，仍会继续工作，直到碰到下一对匹配的尖括号时又会恢复正常的解析（规范里倒是有要求做一些很表面功夫的嵌套检查）。



        特别是，以下面这个样式表代码为例，尽管格式完全不对，但仍然会改变所有<img>标签的边框样式：

🧑‍⚕️‍👒🧹🙄✌

        
[mw_shl_code=css,true]        a{
        $$$ 这一段语法是完全没意义的！ $$$
        
        !(@*#)!!@ 123👳‍👓🔑😒🖕
        }
        img{
        border:lpx solid red;
        
        }[/mw_shl_code]
👎🚐🍊⚛🐮‍        
        利用css解析器这种不同寻常的行为，就可以针对css解析器的不兼容性构造出一些有趣的攻击方式，譬如对某些浏览器属于有效的输入，但却能令另一些浏览器的CSS实现出错，利用CSS解析器出错之后会重新同步的处理逻辑，就可能导致受攻击的浏览器在不正确的位置解析CSS，如从攻击者提供的字符串中间位置开始解析。
        
        IE浏览器对多行字符串文本的支持，就属于这类问题里一个傻得比较天真的例子。如果用户提供的CSS字符串里包含CR和LF换行符，对IE浏览器来说基本上是安全的，所以某些网站会允许这种做法。但遗憾的是，同样的模式却会使别的浏览器产生无法预期的处理偏差，并导致以下evil_njle规则集里的内容获得解析：
        

👮‍♂️‍💎📏😃👄

[mw_shl_code=css,true]        some_benign_selector{
                content:'Attacker-controlled text...
                        }evil_rule {margin-left:-lOOOpx;}';
        }[/mw_shl_code]
        

💪🌦🥄🆗‏

        对多行字符串文本的支持是微软特有的扩展，其实只要禁止使用这种不合规的语法，就能轻易修复前面这个问题。遗憾的是，标准本身又引入了其他的去同步(desynchronization)风险。例如，还记得前面的复杂选择器吗？这个CSS 3语法对早于CSS 3以前版本的解析器而言，是没有意义的。在以下这个例子里，较老版本的CSS解析器在碰到那个不认识的方括号之后，就不工作了，直到碰到攻击者提供的evil_ule，又会再次开始解析：

[mw_shl_code=css,true]        a[hrGfA='}evil_rule{margin-left:-lOOOpx;}']{
        /*这部分是无害，有效的CSS规则*/
        }[/mw_shl_code]

👩‍👑🩸😃👆

        目前IE6浏览器对此漏洞依然有效。#362: