Мы проводим оценку безопасности.
Существует вероятность того, что злоумышленник может ввести произвольный CSS в другие пользовательские веб-страницы, хотя мы не уверены, что он действительно может быть использован.
Я понимаю, что он мог полностью изменить внешний вид страницы, даже не отображая ничего. Это все? Что может быть самым худшим? Может ли JavaScript быть встроен в CSS? Может ли он "украсть" другие файлы cookie пользователя? И начать еще одну сессию?