css - 对用户 css 的危险

标签 css

允许用户使用 css 是否存在任何危险或安全风险?

抱歉,问题不具体。可能的实现:有一个文本区域供用户输入自定义 css,然后将该 css 放入样式元素中:<style type="text/css"></style>用 js.

最佳答案

是的,有许多潜在的 XSS 攻击,主要是通过将 JavaScript 放入背景图像等的 url 中。在 XSS Cheat Sheet 中搜索“样式”举一些例子。

用户 CSS 也有可能破坏您的网站,例如将导航菜单设为 0x0 像素或将其移出屏幕至 -1000、-1000。或者 CSS 本身可以引用来自其他网站的图像,您不能保证这些图像会继续存在。

关于css - 对用户 css 的危险,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3380123/

上一篇:CSS 选择器在另一个元素之前将规则应用于一个元素

下一篇:css - 如何强制在 Facebook 中呈现等宽字体?

相关文章:

html - ~ 在 CSS 中,但适用于所有 HTML 标签

javascript - 当路由更改时,import css 仍然停留在页面中

html - 导航栏链接和 h1

css - 我们可以用新的 CSS 实现任何目标吗 :is() pseudo-class that we can't already achieve with comma-separated queries?

php - Woocommerce 3.3 管理订单列表中的自定义订单状态背景按钮颜色

javascript - 如何列出元素中的所有 css 变量名称/值对

html - Animate.css 不工作不知道为什么?

javascript - 将提交按钮平滑滚动到页面上的 div

html - 更改 HTML 表格中整行的背景颜色

javascript - jQuery FadeIn/FadeOut 每个元素依次

©2024 IT工具网  联系我们