這種行為只存在于使用?React?/?類(lèi)React?框架的頁(yè)面中

場(chǎng)景一般隱匿于第三方腳本當(dāng)中從而竊取你的密碼

攻擊手段利用 CSS 屬性選擇器，可以在加載background-image

例如，以下 css 將選擇 atype等于password和 value以 結(jié)尾的所有輸入a。然后它將嘗試從http://localhost:3000/a

使用一個(gè)簡(jiǎn)單的腳本可以創(chuàng)建一個(gè)css 文件，該文件將為每個(gè) ASCII 字符發(fā)送一個(gè)自定義請(qǐng)求。

應(yīng)為react會(huì)設(shè)置value 的值

css列表

服務(wù)器端express 便可以取截取到你傳輸?shù)臄?shù)據(jù)

react代碼