在我们的应用程序中,我们允许从外部源显示html,因此在我们显示之前,我们会对其进行清理。源有点可信,但我们想要添加另一层。
我们删除了样式标记,但希望保留样式属性。我知道脚本可以放在该属性中,并且想知道这些可以用于XSS的程度。换句话说,允许样式标签的具体风险是什么?
答案 0 :(得分:1)
HTML电子邮件共享许多相同的风险。如果您在基于网络的阅读器(例如Gmail)中显示HTML电子邮件,则需要确保它无法逃脱其容器并尝试弄乱邮件界面本身。因此,在向用户提供电子邮件之前,许多样式被删除。 Campaign Monitor在不同的邮件客户端中有good guide as to what CSS is allowed and disabled。这可能是一个很好的起点。