CSS における @import を利用して、他の Web サイトの情報を抜き出す攻撃手法。Internet Explorer では CSS に似た書式を持つファイルであれば、@import など複数の方法により、任意のWebページを取り込むことが可能となり、取り込んだWebページ内に機密情報が存在した場合に、攻撃者にその機密情報を送信することが可能となる。
Google Desktop Exposed:Exploiting an Internet Explorer Vulnerability to Phish User Information が初出。
DOM へ、スタイルシートを取り込む機能の脆弱性のため、document.styleSheets(0).imports(0).cssTextの操作を禁止する目的で JavaScript だけを切ってあっても、攻撃が成立する場合がある。ある種の ActiveX コントロールが DOM を操作することが可能だからである。
各種の Web アプリケーション において導入されているセッション管理を迂回できる可能性について論議されている。
2006年6月度のInternet Explorer 用の累積的なセキュリティ更新プログラム (916281) (MS06-021)を適用することで回避可能になった。ただし、CSSXSS脆弱性を悪用した罠ページを信頼済みサイトゾーンに登録してしまうと防御できないが、これは他の脆弱性と同様である。また、ローカルにダウンロードしたHTMLを開いてしまった時にもCSSXSS脆弱性が発動するケースがある。