Diciamo che gli utenti possono definire il contenuto dell'attributo style
, ma in modo limitato. Non possono uscire dal suo valore, poiché un parser con elenchi in bianco rimuoverà tutti gli attributi / tag non sicuri prodotti in questo modo.
Possono fare XSS utilizzando solo il valore dell'attributo style
nei browser moderni?
Con "moderno" essendo IE10 + e le versioni più recenti di altri browser.