смотря что имеешь ввиду под xss через css. Если css injection, то это не xss, но косвенно конечно может быть использовано для последующей эксплуатации xss. А если старье типа expression: alert(1) в IE, такое уже давно не работает. По css injection: https://x-c3ll.github.io/posts/CSS-Injection-Primitives/
Обсуждают сегодня