detay
CSS enjeksiyon saldırıları hakkında araştırma yaparken birdenbire less & sass aklıma geldi. biliyorsunuz, her ikisi de css ön işlemcisidir, dolayısıyla istemci tabanlı işlemleri desteklemediklerini düşünüyorum. bu bir hata…
http://lesscss.org/ sayfasını ziyaret ederken less.js’yi gördüm. less.js, javascript kodunu backtick char ile daha az kodda yorumlamayı sağlar. yani dom tabanlı xss zafiyeti bu noktada ortaya çıkıyor.
Bunu daha ucuza yeni saldırı vektörü olarak Twitter’da yayınladım.
kısaltma
ayrıca kısaltma için rakesh yelesine teşekkürler!
yükler
“less.js”, stil öğesinin “type” niteliğine ilişkin normal ifade modelini içerir.
var t=/^text\/(x-)?less$/;
yani şu yükleri destekliyor: