我有一个动态的网页,我希望其他人可以嵌入到他们的网页中,iframe但不一定要使用像JavaScript这样的任何更高级的技术.
我不是自己提供各种设计和样式,而是考虑允许他们通过HTTP GET参数为我的页面提供自己的样式表,并<link type="text/css" rel="stylesheet" href在我的页面上通过URL w/... 嵌入这样的外部样式表.
这样安全吗?它会违反我网站的安全范例吗?我知道可以单独使用CSS插入额外的文本,并且确实可以删除元素(这是我为用户提供此类功能的全部意义),但我应该注意什么?
恶意的人可以通过这样的CSS在我的网站上插入链接,从我的http referer中受益并可能违反某些检查,或者CSS插入仅限于文本?
在一般情况下,不,允许第三方 CSS 是不安全的。某些实现允许在 CSS 中使用 JavaScript,这意味着允许用户修改您的 CSS 允许他们在您的页面上下文中执行任意 JavaScript。
但是,如果这是一种“白标”页面,它似乎是它所嵌入的站点的一部分,并且它实际上是您的页面这一事实只是一个实现细节,那么这似乎不是一个主要问题。指定“第三方”CSS 的人是站点所有者,因此此时它并不是真正的第三方——他们不会自己进行 XSS!
但是任何人都不应该将 CSS 放在本应由您控制的页面上,因为它确实处于控制 CSS 的人的控制之下。
CSS 无法插入可链接内容。它只能设计、定位和隐藏已有的内容。:before当然,人们可能会用文本弄乱您的页面:after,也许会让事情看起来有点混乱,或者更改现有链接上的标签,但不会更改 URL 本身。
| 归档时间: |
|
| 查看次数: |
610 次 |
| 最近记录: |