Есть ли угроза безопасности, если я позволю пользователю добавить CSS?

Question

Разве небезопасно разрешать пользователю добавлять свои собственные правила CSS на свою личную страницу, например, на социальном веб-сайте?

Answer 1

Это небезопасно .Существует несколько способов встроить JavaScript в CSS, чтобы он выполнялся хотя бы некоторыми браузерами.Google "XSS CSS" и просмотрите самые популярные хиты.

Не делайте этого, если вы не хотите выполнять жесткую санацию CSS и убирать беспорядок, когда ваша санация неизбежно обойденафайлы cookie пользователей скомпрометированы.

Answer 2

Я думаю кто-то ответил на этот вопрос раньше .

Урок истории: в myspace разрешены пользовательские CSS и скрипты. Для тех из вас, кто не слонялся по сети в 2003 году или около того, это было серьезной угрозой безопасности. Позже масса созданного пользователем CSS, который был предметом продажи, стала серьезным ущербом для платформы, так как многие изменения и улучшения не могли быть сделаны, поскольку они эффективно создали публичный API для своих хуков CSS.

Так что действительно очень плохая идея позволить пользователям делать CSS.

Answer 3

Разрешение им вводить CSS в виде текста произвольной формы (или загружать файл) может привести к проблемам с безопасностью. Возможно, было бы безопаснее предоставить им панель управления, которая позволяет им настраивать внешний вид (конечно, с ограничениями, может быть невозможно создать форму, которая позволяет им настраивать ВСЕ), и реализовать настройку через CSS, сохраняя при этом свои настройки в качестве значений в структурированном наборе таблиц базы данных.