在我们的应用程序中,我们允许显示来自外部源的 html,因此在显示它之前,我们会对其进行清理。来源有些可信,但我们想添加另一层。
我们删除了样式标签,但希望保留样式属性。我知道脚本可以放置在该属性中,并且想知道这些脚本可以在多大程度上用于 XSS。换句话说,允许样式标签有哪些具体风险?
最佳答案
HTML 电子邮件也存在许多相同的风险。如果您在基于网络的阅读器(例如 Gmail)中显示 HTML 电子邮件,您需要确保它无法脱离其容器并尝试干扰邮件界面本身。因此,在向用户提供电子邮件之前,许多样式都会被删除。事件监视器有一个 good guide as to what CSS is allowed and disabled在不同的邮件客户端中。这可能是一个很好的起点。
关于html - 带有样式属性的安全风险(xss),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10421168/