利用CSS注入（无iFrames）窃取CSRF令牌

（点击上方公众号，可快速关注）编译：FreeBuf.COMhttp://www.freebuf.com/articles/web/162687.htmlCSS相信大家不会陌生，在百度百科中它的解释是一种用来表现HTML（标准通用标记语言的一个应用）或XML（标准通用标记语言的一个子集）等文件样式的计算机语言。那么，它仅仅只是一种用来表示样式的语言吗？当然不是！其实早在几年前，CSS就已被安全研究人员运用于渗透测试当中。这里有一篇文章就为我们详细介绍了一种，使用属性选择器和iFrame，并通过CSS注入来窃取敏感数据的方法。但由于该方法需要iFrame，而大多数主流站点都不允许该操作，因此这种攻击方法并不实用。这里我将为大家详细介绍一种不需要iframe且只需10秒，就能为我们有效地窃取CSRF token的方法一旦用户 ………………………………