让用户将自己的CSS规则添加到个人页面(例如社交网站)是不安全的?
答案 0 :(得分:12)
不安全。有多种方法可以在CSS中嵌入JavaScript,使其至少被某些浏览器执行。谷歌“XSS CSS”,并浏览热门点击。
除非您愿意对CSS进行核心清理,并且在不可避免地绕过您的清理并且您的用户的Cookie受到损害时清理混乱,否则不要这样做。
答案 1 :(得分:2)
允许他们以自由格式文本(或上传文件)的形式输入CSS可能会导致安全问题。给他们一个控制面板让他们自定义外观可能会更安全(当然有限制,可能无法构建一个允许他们自定义所有内容的表单),并通过CSS实现自定义,同时存储他们的设置作为结构化数据库表集合中的值。
答案 2 :(得分:2)
我认为somebody answered this question before。
历史课:myspace允许自定义CSS和脚本。对于那些在2003年左右没有在网上闲逛的人来说,这是一个重大的安全威胁。后来,大量用户生成的CSS作为卖点成为了对平台的一个主要损害,因为无法进行许多更改和改进,因为他们实际上已经为他们的CSS挂钩创建了一个公共API。
因此,让用户使用CSS是一个非常非常糟糕的主意。