logo Homepage
+  NewbieContest
|-+  Divers» Hacking» inclure du code dans du CSS
Username:
Password:
Pages: [1]
  Imprimer  
Auteur Fil de discussion: inclure du code dans du CSS  (Lu 3815 fois)
micka13
Profil challenge

Classement : 3468/54254

Membre Junior
**
Hors ligne Hors ligne
Messages: 86


Voir le profil
« le: 16 Février 2007 à 14:57:37 »

Bonjour j'aimerai savoir si il est possible de rajouter du code  php ou javascript dans du css.
Je m'explique :
sur un jeu en ligne , il y a une partie alliance,
dans cette partie alliance,on peut mettre une description.
Le script validant cette description efface automatiquement les "<" et ">" ainsi que tout ce qui se trouve a l'interieur ,
il est donc impossible d'integrer du php ou html/javascript.
cependant il existe une balise permetant d'integrer du css.
On inscrit la balise de cette maniere [fc]xxxxx[/fc] en faite
cette balise ouvre une balise "<font color=xxxxxx". en mettant "red style="background-image: url(***); background-position: top center; background-repeat: no-repeat; display: block; font-weight: normal; padding-top: 5px; padding-left: 1%; padding-right: 1%; padding-bottom: 5px"
on peut donc inserer une image.
Ce que j'aimerai savoir c'est s'il existe un autre atribut comme background-image , mais qui permete d'integrer un script , un peu comme un include ?
merci de votre aide
Journalisée
Nebelmann

Profil challenge

Classement : 461/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1357


Voir le profil
« #1 le: 16 Février 2007 à 15:07:02 »

CSS c'est pour le design.
PHP c'est pour la génération du contenu.

Aucun lien entre les deux, le seul truc que tu puisse faire, c'est un @import d'une autre feuille de style CSS, et je doute que ça marche dans l'attribut style des balises...
Donc la réponse est non (à ma connaissance).
Journalisée

-- Nebelmann -- Registered linux user #429186
«Si les lecteurs étaient des compilateurs, les posteurs feraient peut-être davantage attention à ce qu'ils écrivent...»
micka13
Profil challenge

Classement : 3468/54254

Membre Junior
**
Hors ligne Hors ligne
Messages: 86


Voir le profil
« #2 le: 16 Février 2007 à 15:10:11 »

arf^^Pourtant j'ai le sentiment que d'ouvrir une tel **orthographe !** ne peut pas rester sans faille !
autre question :
L'attribut onload="" de javascript , on ne peut pas le metre dans une balise <font> ? ou bien je l'ecris mal ?
Car apres validation de ma descritpion j'obtien ceci dans le code source mais rien ne se passe:
<font color=blue onload="alert('test');">
Journalisée
Nms

Profil challenge

Classement : 74/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 794


Voir le profil
« #3 le: 16 Février 2007 à 15:33:18 »

Non ça ne marche pas avec font.
Journalisée

Ex Newbie Contest Staff :
Nms
Status :
Concepteur d'épreuves
Citation :
Je ne sais qu'une chose : que je ne sais rien. (Socrate)
Nebelmann

Profil challenge

Classement : 461/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1357


Voir le profil
« #4 le: 16 Février 2007 à 16:13:05 »

onload() :

Supported by the following HTML tags:
<body>, <frame>, <frameset>, <iframe>, <img>, <link>, <script>
Journalisée

-- Nebelmann -- Registered linux user #429186
«Si les lecteurs étaient des compilateurs, les posteurs feraient peut-être davantage attention à ce qu'ils écrivent...»
micka13
Profil challenge

Classement : 3468/54254

Membre Junior
**
Hors ligne Hors ligne
Messages: 86


Voir le profil
« #5 le: 16 Février 2007 à 16:43:43 »

ok merci pour ces reponses!
Mais si jamais quelqu'un trouve une idee pour inclure autre chose qu'une image qu'il me fasse signe
Journalisée
Zmx

Profil challenge

Classement : 69/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 559


Voir le profil WWW
« #6 le: 16 Février 2007 à 21:55:10 »

Jette un oeil là:
http://ha.ckers.org/xss.html

Tu y trouveras en particulier un truc qui "pourrais" marcher:
Code:
<BODY BACKGROUND="javascript:alert('XSS')">
Code:
<STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE><UL><LI>XSS
pas mal celui là
Code:
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
Attention comme tu le vera sur le site, comme ce sont des XSS qui abuse des moteurs de rendu des browser, cela ne fonctionne que rarement sur tous les browser
Journalisée

micka13
Profil challenge

Classement : 3468/54254

Membre Junior
**
Hors ligne Hors ligne
Messages: 86


Voir le profil
« #7 le: 17 Février 2007 à 12:01:51 »

héhé bien joué!Merci bien
je peux deja mettre du javascript!Maintenant me reste plus qu'a trouver ce que je peux en faire
Journalisée
Zmx

Profil challenge

Classement : 69/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 559


Voir le profil WWW
« #8 le: 17 Février 2007 à 12:46:32 »

Citation de: Nebelmann
onload() :

Supported by the following HTML tags:
<body>, <frame>, <frameset>, <iframe>, <img>, <link>, <script>
En meme temps si tous les browser respectais le W3C a la lettre pret, il y as aurais 70% de XSS de possible en moins

Sinon, mon **No Sms** "jeux" du moment Ceci est le "alt d'une image ==> (http://www.newbiecontest.org/index.php?page=logoff) <== Ceci est le "alt d'une image
Sur certains (bcp) de site, ça permet de faire des truc drole
Journalisée

Pages: [1]
  Imprimer  
 
Aller à: