允许用户使用css是否存在任何危险或安全隐患?
抱歉非特定问题。可能的实现:让一个textarea让用户输入自定义css,然后将该css放入一个样式元素:<style type="text/css"></style>和js。
答案 0 :(得分:4)
是的,有许多潜在的XSS攻击,主要是通过将JavaScript放在URL中用于背景图像等等。在某些示例中,在XSS Cheat Sheet中搜索“样式”。
用户CSS还有可能破坏您的网站,例如使导航菜单为0x0像素或将其从屏幕移至-1000,-1000。或者CSS本身可以引用来自其他网站的图片,但您无法保证这些图片会继续保持不变。
答案 1 :(得分:1)
这取决于您如何实现该功能。如果您提供允许人们选择自己的CSS值的表单,则存在脏输入的固有风险。
答案 2 :(得分:1)
如果他们写了一些隐藏或隐藏登录等内容的CSS会怎样?
还有很多问题,有一个CSS历史黑客,几个与url相关的XSS漏洞,可能还有更多未被考虑过的。
在页面上显示之前,请务必清理用户输入。
答案 3 :(得分:1)
如果受CSS影响的唯一用户是提供CSS的用户,那么风险就不大了。任何XSS漏洞都只会影响用户。
有些浏览器允许用户使用自定义CSS,或者完全忽略它,所以我不认为这是一个问题。