jco*_*der 7 css security
我有一个Web应用程序,我希望允许最终用户通过上传自己的css文件来自定义网站的外观.
这有什么安全问题吗?我看不到任何明显的东西,但想到我会问,如果有什么我错过了.
Sam*_*152 10
Javascript可以在CSS中执行,您必须确保使用一些过滤.
我还看到有人在微软控制的网站上覆盖整个页面的事件,其中包含透明像素,链接到恶意网站.点击任何地方都会触发攻击者网站.
然而,如果用户只看到他或她自己的CSS,那么这可能是安全的,并且他们无法让别人查看他们所做的事情.否则某种白名单或降价会起作用.
jam*_*kes 6
简短的回答:不,不是.IE中的HTC和Mozilla中的XBL都是潜在的攻击媒介.这种性质的黑客被用来抢回30,000个MySpace密码.
来源:西蒙威利森,网络安全恐怖故事
归档时间:
16 年,8 月 前
查看次数:
697 次
最近记录: