允许用户使用 css 是否存在任何危险或安全风险?
抱歉,问题不具体。可能的实现:有一个文本区域供用户输入自定义 css,然后将该 css 放入样式元素中:<style type="text/css"></style>
用 js.
最佳答案
是的,有许多潜在的 XSS 攻击,主要是通过将 JavaScript 放入背景图像等的 url 中。在 XSS Cheat Sheet 中搜索“样式”举一些例子。
用户 CSS 也有可能破坏您的网站,例如将导航菜单设为 0x0 像素或将其移出屏幕至 -1000、-1000。或者 CSS 本身可以引用来自其他网站的图像,您不能保证这些图像会继续存在。
关于css - 对用户 css 的危险,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3380123/