那些遇到过的问题

用户上传的CSS安全吗?

Bre*_*ent 6 css security

有人用户上传的CSS可以做些什么来伤害网站吗?如果我想允许用户上传/分享他们自己的CSS主题到网站,有什么我应该寻找或禁止?

编辑:假设我知道如何检查它是否是一个有效的CSS文件等.我正在寻找我需要避免的CSS特定漏洞利用.

Mik*_*ike 2

即使您解析文件中的有效 CSS,黑客仍然可能通过使用:before 和 :after之类的内容进行恶意攻击。为了确保安全性,您需要在验证中将 css 属性和选择器的子集列入白名单。

  • 请原谅我的无知,但是 `:before` 或 `:after` 内容可能有什么恶意?也许我对“恶意”的理解与你不同? (2认同)

归档时间:

查看次数:

635 次

最近记录:

14 年,5 月 前
如何在PHP中预先形成基于白名单的CSS过滤 9
更多相关链接
相关归档
表而不是DIV 112
如何使用百分比设置表格单元格的最大宽度? 90
如何从<td>表格单元格建立链接 61
你如何base-64编码PNG图像用于CSS文件中的数据uri? 42
如何并排放置两个div盒 42
给包裹的flexbox项目垂直间距 37
良好的表格安全 - 没有CAPTCHA 34
将表格行换行到下一行 31
Spring Security中的相同站点Cookie 5
ASP.Net:通过浏览器的登录窗口进行身份验证 1
难疑归档
为什么我的JavaScript在所请求的资源上出现"No'Access-Control-Allow-Origin'标头"错误,当Postman没有? 2320
为什么GCC不优化a*a*a*a*a*a到(a*a*a)*(a*a*a)? 2083
Make .gitignore会忽略除少数文件之外的所有内容 1531
如何从其他线程更新GUI? 1331
你如何在YAML中阻止评论? 1272
在HTML中显示哪些字符可用于上/下三角(没有词干的箭头)? 1212
如何在不使用存储库的情况下将Docker镜像从一个主机复制到另一个主机 1181
从Docker容器内部,如何连接到本机的本地主机? 1176
如果我已经开始使用rebase,如何将两个提交合并为一个? 1111
如何使用$ scope.$ watch和$ scope.$在AngularJS中申请? 1076