XSS 攻擊是指惡意攻擊者通過注入惡意腳本代碼，從而獲取用戶敏感信息或者操作用戶設備的一種網絡攻擊方式。而 CSS 可以作為一種攻擊手段，用于竊取用戶敏感信息或者篡改用戶頁面。

.steal-info::after {
content: attr(onclick);
font-size: 0;
visibility: hidden;
position: absolute;
top: -100px;
left: -100px;
}
.color-change {
color: red !important;
background-image: url("https://example.com/malicious-image.png");
background-size: 0 0;
background-position: center;
}

以上兩個 CSS 代碼分別用于竊取 onclick 屬性和篡改頁面樣式。在攻擊過程中，攻擊者會將 JavaScript 代碼注入到文本框、頁面評論區等可以輸入文本的地方，當用戶瀏覽這些頁面時，惡意代碼會被瀏覽器執行，從而導致攻擊。

在防范 XSS 攻擊時，有以下幾點需要注意：

• 在前端，禁止使用 eval() 函數，避免攻擊者利用注入代碼執行惡意代碼。
• 對輸入的數據進行過濾，刪除所有特殊字符和 HTML 標簽，避免攻擊者注入惡意代碼。
• 使用 CSP（Content Security Policy）來限制只允許加載指定來源的資源，從而避免注入外部腳本。