Ema*_*aid 4 css security
在(例如)社交网站中,允许用户将自己的CSS规则添加到他的个人页面是不安全的?
gra*_*rks 12
这不安全.有多种方法可以在CSS中嵌入JavaScript,使其至少被某些浏览器执行.谷歌"XSS CSS",并通过顶级点击查看.
不要这样做,除非你愿意对CSS进行硬核消毒,并在不可避免地绕过你的消毒并且你的用户的cookie受到损害时清理乱七八糟的东西.
归档时间:
14 年,6 月 前
查看次数:
225 次
最近记录: