[micka13]

Bonjour j'aimerai savoir si il est possible de rajouter du code  php ou javascript dans du css.
Je m'explique :
sur un jeu en ligne , il y a une partie alliance,
dans cette partie alliance,on peut mettre une description.
Le script validant cette description efface automatiquement les "<" et ">" ainsi que tout ce qui se trouve a l'interieur ,
il est donc impossible d'integrer du php ou html/javascript.
cependant il existe une balise permetant d'integrer du css.
On inscrit la balise de cette maniere [fc]xxxxx[/fc] en faite
cette balise ouvre une balise "<font color=xxxxxx". en mettant "red style="background-image: url(***); background-position: top center; background-repeat: no-repeat; display: block; font-weight: normal; padding-top: 5px; padding-left: 1%; padding-right: 1%; padding-bottom: 5px"
on peut donc inserer une image.
Ce que j'aimerai savoir c'est s'il existe un autre atribut comme background-image , mais qui permete d'integrer un script , un peu comme un include ?
merci de votre aide

[Nebelmann]

CSS c'est pour le design.
PHP c'est pour la génération du contenu.

Aucun lien entre les deux, le seul truc que tu puisse faire, c'est un @import d'une autre feuille de style CSS, et je doute que ça marche dans l'attribut style des balises...
Donc la réponse est non (à ma connaissance).

[micka13]

arf^^Pourtant j'ai le sentiment que d'ouvrir une tel **orthographe !** ne peut pas rester sans faille !
autre question :
L'attribut onload="" de javascript , on ne peut pas le metre dans une balise <font> ? ou bien je l'ecris mal ?
Car apres validation de ma descritpion j'obtien ceci dans le code source mais rien ne se passe:
<font color=blue onload="alert('test');">

[Nms]

Non ça ne marche pas avec font.

[Nebelmann]

onload() :

Supported by the following HTML tags:
<body>, <frame>, <frameset>, <iframe>, <img>, <link>, <script>

[micka13]

ok merci pour ces reponses!
Mais si jamais quelqu'un trouve une idee pour inclure autre chose qu'une image qu'il me fasse signe

[Zmx]

Jette un oeil là:
http://ha.ckers.org/xss.html

Tu y trouveras en particulier un truc qui "pourrais" marcher:

Code:

<BODY BACKGROUND="javascript:alert('XSS')">

Code:

<STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE><UL><LI>XSS

pas mal celui là

Code:

<DIV STYLE="background-image: url(javascript:alert('XSS'))">

Attention comme tu le vera sur le site, comme ce sont des XSS qui abuse des moteurs de rendu des browser, cela ne fonctionne que rarement sur tous les browser

[micka13]

héhé bien joué!Merci bien
je peux deja mettre du javascript!Maintenant me reste plus qu'a trouver ce que je peux en faire

[Zmx]

onload() :

Supported by the following HTML tags:
<body>, <frame>, <frameset>, <iframe>, <img>, <link>, <script>

En meme temps si tous les browser respectais le W3C a la lettre pret, il y as aurais 70% de XSS de possible en moins

Sinon, mon **No Sms** "jeux" du moment Ceci est le "alt d'une image ==> (http://www.newbiecontest.org/index.php?page=logoff) <== Ceci est le "alt d'une image
Sur certains (bcp) de site, ça permet de faire des truc drole