CSS攻擊是一種針對Web瀏覽器的攻擊方式，攻擊者利用Web瀏覽器對CSS的解析能力，向網頁注入含有惡意代碼的CSS文件，從而攻擊用戶瀏覽器。CSS攻擊的原理是利用CSS文件注入惡意代碼，通過CSS樣式對瀏覽器進行攻擊。

body {
background-image: url('javascript:alert("XSS")');
}

如上述代碼所示，攻擊者向網頁注入含有惡意代碼的CSS文件，其中的background-image屬性被惡意代碼替換。

當用戶訪問被注入CSS文件的網頁時，網頁會對惡意CSS文件進行解析，此時會觸發惡意代碼，造成想要的攻擊效果。

CSS攻擊通常會利用瀏覽器的漏洞，如CSS注入、CSS屬性覆蓋等方式實現攻擊目的。攻擊者可以通過CSS攻擊竊取用戶敏感信息，如密碼、身份證號、銀行卡信息等，也可以對用戶的計算機進行控制或感染病毒。

為了避免遭受CSS攻擊，用戶需要保證瀏覽器及時更新，避免使用過于老舊的瀏覽器，同時可以通過瀏覽器插件、防病毒軟件等措施增強瀏覽器的安全性。開發者也需要遵循安全編碼規范，在編寫CSS代碼時注意過濾和轉義用戶輸入，避免注入惡意代碼。