CSSXSSとは、Internet Explorerのスタイルシート(CSS)の呼び出し機能に潜む脆弱性をつく攻撃手法。攻撃者は不正なCSSインポートを含んだWebページを閲覧させることにより、被害者のコンピュータから不正に情報を入手することができる。
CSSでは別ドメインに置かれた外部スタイルシートファイルを「@import」宣言などを使って読み込む(インポートする)ことができるが、Internet Explorerでは外部ファイルの種類を自動判別するため、ファイル名のわかる“{”が入ったテキストファイルを自由に抜き出せてしまう。インポート方法は@import、addimport、link要素、xml-stylesheetなどが知られ、インポートされるファイルがShift-JISで記述されている場合は、文字コード的に“{”と類似するカタカナの「ボ」や「マ」などが入っていても抜き出されてしまう。
CSSXSSは、Google Desktopの検索結果をユーザに知られずに外部から読み取ることができる方法が紹介されて有名になった。スタイルシートに関する脆弱性のため、JavaScriptをオフにしても影響を受ける。被害者側のWebサイトを改変するわけではなく、単にスタイルシートと間違えられた別の情報を盗んでくるので、厳密に言えばCSSXSSはクロスサイトスクリプティングには当たらないとする見方もある。
