js
我只是谈论/询问CSS,SASS,SCSS,如果我允许用户上传(模板)CSS
为自己
对于其他人来说,如果他们将模板公开(不是说丑陋或色情背景 - 这是另一个故事)
如果,我需要检查什么?
或只是 - 更好的不是?
(旁注,受信任的用户,将被允许使用.rb,.js,.haml提供更复杂的模板,但这些模板将逐步完成清算和停工步骤......,仅CSS,我不确定)
答案 0 :(得分:1)
虽然文件上传的许多安全性都是特定于实现的(f.ex我可以找到一种方法来欺骗你的CSS验证到一个php文件的接受吗?)。假设您的实施是可靠的,有一些问题:
1)CSS文件可以执行JavaScript(持久性xss),可用于上传受信任用户的恶意文件,从而查看与恶意CSS接触的页面。
2)CSS文件可以完全重写网站的显示方式,例如可以用来代替攻击性图像的合法内容。
通过从单独的(子)域提供服务并为您的网站设置适当的安全标头,可以提高服务用户提供的内容的安全性。
答案 1 :(得分:0)
基于@wireghouls回答
CSS文件可以执行JavaScript(持久性xss)
我发现其他人的使用完整链接可能会查看我的问题,显示:"让用户上传没有白名单控件的css不是最好的主意。"
...并且了解到,有一个更好的地方可以提出我的问题:
解释了我的问题中的关闭请求请求