jar*_*bot 11 javascript css security
我的目标是允许合作伙伴通过在URL参数中向我们传递其样式表的链接,为自己的目标和感觉设置其着陆页的样式.通过JavaScript加载第三方CSS是否存在安全性或浏览器兼容性问题?
Lim*_*ime 14
在CSS文件中.
expressions(code),behavior:url()和 url(javascript:code),-moz-binding:url()都有潜在的安全问题.
行为不能跨域,以便消除某些威胁,但一般来说,您确实需要以某种方式对其进行消毒.
如果允许用户链接到外部服务器上的CSS,则没有完全可靠的验证方法.服务器可以检查服务器上的CSS文件以确保没有任何恶意内容,但是如果用户更改样式表怎么办?你必须不断检查样式表.此外,服务器可能会向服务器IP地址提供不同的信息,以试图绕过验证方法.
老实说,我建议将CSS存储在您自己的服务器上.简单运行它会抛出一个正则表达式解析器,从上面删除可能的恶意代码.
| 归档时间: |
|
| 查看次数: |
1168 次 |
| 最近记录: |