标签: ruby-on-rails css
我正在编写一个允许用户输入CSS规则的rails应用程序,我想限制脚本执行。禁止'绑定'(对于-moz绑定)和'行为'是否足够?它将通过在保存之前调用的简单正则表达式来实现。
是否有其他方法将脚本包含在css样式表中?
答案 0 :(得分:3)
已经一次又一次地证明,黑名单不起作用。保持CSS安全的白名单。
答案 1 :(得分:0)
XSS有很多种方法。这是一个cheat sheet。
这是完整的清单吗?
足够有创意的攻击者会找到一种通过你的微不足道的解析器获取的方法。