我们有一些代码可以从HTML中删除“危险”属性和标记。我注意到style属于“危险”属性列表。该属性的风险可能是什么?
答案 0 :(得分:2)
在IE中,您可以在其中包含@behaviors,可以加载少量Javascripts。
使用CSS3,您还可以插入一些文本,这可能会很危险,具体取决于您的网站。
答案 1 :(得分:2)
这是基于内联样式属性创建漏洞的an example of a bug in MediaWiki。
答案 2 :(得分:1)
使用样式表可以制作看不见或非常具有欺骗性的东西。例如,您可以在整个页面上放置一个巨大的,不可见的锚链接,这样当用户点击某些内容时,他就会被带到俄罗斯服务器上的相同页面。