Мы проводим оценку безопасности.
Существует вероятность того, что злоумышленник может ввести произвольный CSS в другие пользовательские веб-страницы, хотя мы не уверены, что он действительно может быть использован.
Я понимаю, что он мог полностью изменить внешний вид страницы, даже не отображая ничего. Это все? Что может быть самым худшим? Может ли JavaScript быть встроен в CSS? Может ли он "украсть" другие файлы cookie пользователя? И начать еще одну сессию?
Взгляните сюда:
Да ко всему вышесказанному. Инъекция произвольного CSS может привести к выполнению javascript. Посмотрите:
Самое худшее, что может случиться, зависит от окружающей среды. В некоторых случаях кража сеансового файла cookie и доступ к сеансу пользователя может быть самым худшим (например, банки, онлайн-торговля акциями), это может быть не так для вашей ситуации. Другие примеры атак будут получать контроль над браузером, получить доступ к клиентской машине и т.д.