【发布时间】:2011-07-02 07:41:20
【问题描述】:
是否有人可以使用用户上传的 CSS 来破坏网站?如果我想允许用户将自己的 CSS 主题上传/共享到网站,我应该寻找或禁止什么?
编辑:假设我知道如何检查它是否是有效的 CSS 文件等。我正在寻找我需要避免的 CSS 特定漏洞。
【问题讨论】:
-
不,这不安全。有相当多的恶意可能性。
-
我一直在寻找更少的是/否,更多的例子来寻找什么。
-
我认为您应该更清楚地定义您的担忧。蹩脚或损坏的样式表是否属于“棘手”类别?一个写着
*{display:none}的呢?我假设您的意思是公开敏感数据或将数据发送给第三方,但这里的人们似乎只关心使页面变得丑陋或损坏(或者用:after内容说脏话:D)。 -
顺便说一下,试试
*{display:block}一段时间,看看会发生什么。不漂亮。在此页面上的 Firebug 中试用。 -
如果他们想完善他们的页面,那是他们的事。我只是想确保他们在大多数情况下不能执行代码,如果他们与其他人共享这个 CSS 主题,它就无法获取他们的 cookie 或其他东西。