Tengo un blog de WordPress, y cuando navego por una ruta particular como http://example.com/wp-content/themes/css/jquery-scrollbar.css? , puedo ver todo el código CSS de la barra de desplazamiento.
Mis preguntas son:
¿Es este un comportamiento normal o es una vulnerabilidad?
¿Cómo evitar que el navegador muestre el CSS?
¿El código CSS conocido es una vulnerabilidad?
Todo lo que se ejecuta en el navegador puede ser visto por el cliente, que es la naturaleza de la Web. Esto incluye HTML, javascript y CSS. Por lo tanto, a menos que coloque algo confidencial en un archivo que será servido por su navegador, esto no es una vulnerabilidad.
Editar: a continuación se encuentra el comentario de @ schroeder
Además, cada página web puede mostrar el código CSS. Puedes descargar los archivos CSS o abrir la vista de desarrollador para ver e incluso manipular el código CSS para tu navegador.
Esto es completamente normal para una página web sin seguridad explícita, incluso es posible copiar un sitio web completo si tiene acceso a un terminal bash. La única forma real de garantizar que nadie tenga acceso a directorios o archivos es usar un archivo .htaccess. Estos dictan qué directorios puede ver el usuario y no. Por ejemplo, si agrega una entrada para www.foo.com/css y luego me dirijo allí, devolverá un 403.
Espero que esto ayude.
Lea otras preguntas en las etiquetas vulnerability css