Script intersite dans les feuilles de style CSS

Du manuel de sécurité du navigateur

Le risque D'exécution JavaScript. En tant que fonctionnalité peu connue, certaines implémentations CSS permettent d'intégrer du code JavaScript dans des feuilles de style. Il y a au moins trois façons d'atteindre cet objectif: en utilisant l'expression(...) directive, qui donne la possibilité d'évaluer des instructions JavaScript arbitraires et d'utiliser leur valeur en tant que paramètre CSS; en utilisant l'url('javascript:...') directive sur les propriétés qui la supportent; ou par invoquer des fonctionnalités spécifiques au navigateur telles que le mécanisme -MOZ-binding de Firefox .

... et après avoir lu cela, je trouve cela sur StackOverflow. Voir utilisation de Javascript dans CSS Dans Firefox, vous pouvez utiliser XBL pour injecter javascript dans une page via CSS. Cependant, le fichier XBL doit résider dans le même domaine, maintenant que bug 324253 est corrigé .

Il existe une autre façon intéressante (bien que différente de votre question) d'abuser de CSS. Voir http://scarybeastsecurity.blogspot.com/2009/12/generic-cross-browser-cross-domain.html . essentiellement, vous abusez de l'analyseur CSS pour voler du contenu d'un domaine différent.