【问题标题】:Is CSS (and derivates SASS, SCSS, ...) is it safe to allow user upload? Is there a security issue?CSS(以及衍生 SASS、SCSS、...)允许用户上传是否安全?有安全问题吗?
【发布时间】:2015-07-25 19:10:29
【问题描述】:

pre:我在这里SO: Coldfusion: What are security issues that can occur if I allow users to upload .css and .js files to my site,但它首先谈到js

我只谈论/询问CSS,SASS,SCSS,如果我允许用​​户上传(类似模板)CSS,这是一个安全问题

  • 为自己

  • 对于其他人,如果他们将模板公开(不是谈论丑陋或色情背景 - 那是另一回事)

如果,我需要检查什么?

或者只是 - 最好不要?

(旁注,受信任的用户,将被允许使用 .rb、.js、.haml 贡献更复杂的模板,但这些将逐步完成清理和部署步骤......, CSS 一个人我不确定)

【问题讨论】:

    标签: css security


    【解决方案1】:

    虽然文件上传的许多安全性都是特定于实现的(f.ex,我能找到一种方法来欺骗您的 CSS 验证以接受 php 文件吗?)。假设您的实施是可靠的,有几个问题:

    1) CSS 文件可以执行 JavaScript(持久性 xss),可用于上传受信任用户的恶意文件,以便查看联系恶意 CSS 的页面。

    2) CSS 文件可以完全改写网站的显示方式,例如可以用来将合法内容替换为令人反感的图片。

    通过从单独的(子)域提供内容并为您的网站设置适当的安全标头,可以更安全地提供用户提供的内容。

    【讨论】:

      【解决方案2】:

      基于@wireghouls 的回答

      CSS 文件可以执行 JavaScript(持久化 xss)

      我为其他可能正在查看我的问题的其他人找到了一个使用完整链接,该链接显示:“让用户上传不带白名单控件的 css 并不是最好的主意。”

      ...并了解到,有一个更好的地方可以问我的问题:

      stackexchange/security

      这解释了我的问题中的关闭问题请求

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2015-04-22
        • 2020-11-17
        • 2013-11-07
        • 1970-01-01
        • 2012-08-26
        • 2014-09-24
        • 2010-12-24
        • 1970-01-01
        相关资源
        最近更新 更多