个人中心
文章发布
退出
作者热门文章
- objective-c - iOS 5 : Can you override UIAppearance customisations in specific classes?
- iphone - 如何将 CGFontRef 转换为 UIFont?
- ios - 以编程方式关闭标记的信息窗口 google maps iOS
- ios - Xcode 5 - 尝试验证存档时出现 "No application records were found"
25
4
A Content Security Policy用default-src或 style-src指令将阻止内联样式应用于 <style>元素或样式属性。要允许使用内联样式,值 unsafe-inline必须应用于 CSP 提取指令。这似乎表明内联样式是不安全的。
虽然内联 Javascript 是 XSS 攻击的明显攻击媒介(CSP 是 pretty much useless 和 script-src 'unsafe-inline' ),但 Google Web Fundamentals 考虑了内联样式 to be a relatively equivalent threat , 提供 one example 2009 年博客文章中的巧妙数据渗漏方法。
另一方面,另一个Web Fundamentals article建议内联样式可以帮助优化关键渲染路径,因为在浏览器获取外部资源时不会阻止首次绘制。似乎在安全性和性能之间存在一个非常真实的权衡:
一般来说,内联样式的风险有多大?
最佳答案
从可能被利用的 Angular 来看,是的,内联样式与内联 JavaScript 一样危险。但是,利用此类漏洞的情况要少得多。
可以通过多种方式恶意使用 CSS,最常见的方法是注入(inject)图像。有(至少)两种可能的方式来实现:
div {
background-image: url("evil.png");
}
img {
content:url("evil.png").
}
允许用户“强制”渲染图像是非常危险的,因为您可以使用 PHP 来欺骗图像的内容——您可以从查看 PHP 图像的人那里挖掘各种信息,例如他们的cookies、他们的浏览器,甚至他们的操作系统。更糟糕的是,图像会正确呈现,因此查看图像的人甚至不会注意到任何可疑之处。
考虑用户可以上传图片的其他情况,例如在论坛上设置个人资料图片(最终会变成 <img> )。关键在于用户如何能够保存图像以便其他用户渲染它。对于个人资料图片上传,服务器验证通常会阻止用户上传非图像文件或恶意图像文件。几乎不可能验证内联注入(inject)的图像为 background-image或 content网址。
除此之外,我们甚至可以更进一步,告诉 URL 本身 运行 JavaScript:
url('javascript: eval(evil)');
如您所想,这允许攻击者几乎任何他们想做的事。
还有一些罕见的 XSS 方法,甚至允许使用 behavior 直接执行 JavaScript 等操作。标签和 HTC:
body {
behavior: url(evilscript.htc);
}
同样值得注意的是 same-origin policy 的使用本身是可利用的,not secure也是如此.
所以本质上,虽然内联样式略微提高了速度,正如您所说,但在安全性和速度之间存在明确的权衡。尽可能避免内联样式 ;)
希望这对您有所帮助!
关于css - 使用内联样式有哪些风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41925390/
25
4
0
我有一个 Magento 网站,其中似乎没有出现交叉销售产品。 在查看 Stack 和 Google 之后,似乎“重新索引数据”已经为很多人解决了这个问题。 我的问题是,执行此任务是否有任何风险?或者
为了避免在某些简单命令中使用括号,我编写了以下运算符以创建新的图形窗口。我的问题是:除了明显无法在我的变量“ newdev”上执行“ not”功能之外,我是否有“破坏” R中任何内容的风险? # fu
你好 我正在开发一个联系表格。我正在使用邮件功能将其通过电子邮件发送给网站管理员。 是否存在有人可以注入(inject)恶意 javascript 和任何其他注入(inject)攻击的风险? $to
我想知道在 Objective C 中将消息传递给 nil 对象不会执行任何操作,这样依赖是否存在任何风险。 在我的代码中,我有很多对 UIKit 和其他对象的弱引用,这些引用可能随时被清除。由于我来
我被指派修复遗留代码的安全问题,并获得了安全扫描的结果: Poor Error Handling: Server Error Message ( 10932 ) 基本上,当扫描尝试使用一些奇怪的代码进
我有一个匿名类,在创建时需要使用自引用。我的业务代码可以简化为如下代码,我知道这段代码: final Runnable runnable=new Runnable() { @Override
有几个基类是我无法控制的:- class BaseNode // Just a POD class. No VTable { void foo(); } class BaseHost { publ
这个问题已经有答案了: Do I have to guard against SQL injection if I used a dropdown? (11 个回答) 已关闭 7 年前。 我希望我的网
这是根据用户提供的输入创建表的简单过程: PROCEDURE `hackProcedure`( IN tab_name VARCHAR(63)) BEGIN IF (tab_name REGEXP '
我知道在您的网站上显示用户输入时,使用 php 中的 htmlentities() 之类的函数来清理用户输入很有用。但是这样的事情会带来 XSS 风险吗? " /> 像这样清理输入会更好吗? " />
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题吗? Update the question所以它是on-topic用于堆栈溢出。 关闭 10 年前。 Improve thi
谁能阐明图表上曲线的含义、阴影区域的含义以及轴的含义? 最佳答案 这是对风险随时间变化的预测。在 NCrunch wiki 中有一些文档对此进行了描述:http://wiki.ncrunch.net/
我有一个包含 200 万条记录的集合,如果可能的话,我希望在不停机的情况下在其上添加单个字段索引。 我的问题是:是否可以/需要备份集合?使用 azure 门户创建索引在后台运行它而不会造成任何服务停机
我正在使用Symfony2并使用 CSRF token 保护我的表单。 我有一个基于 Ajax 调用的评论系统。如果用户想要编辑他的评论,则会发生以下情况: 用户点击编辑按钮。 通过 ajax 加载“
Checkmark 扫描了我们的代码并显示这些代码存在二阶注入(inject)的风险像这样的代码 @SuppressWarnings("unchecked") public List> findByS
我有一个包含几百行的小型 MySQL 数据库(全部为文本,无图像)。我正在使用 iQuery 请求所有行并在客户端进行所有过滤。 iQuery 代码如下: $(document).ready( fun
如果我的网站只允许用户查看他们自己提交的数据,而永远不允许其他用户提交的数据(即没有一般的“帖子”等)——那么我的网站是否真的存在 XSS 风险? 我仍将致力于 XSS 解决方案(如 httmlspe
我正在构建一个 iframe,而不是 innerHTML , 但带有 createElement .. 我使用了两个不受信任的字符串: iframeEl.title = untrustedStr1;
我正在生成如下动态prepareStatement(字段可能会根据请求输入而变化)。 Veracode 扫描持续报告 SQL 注入(inject)风险 - CWE-89:SQL 命令中使用的特殊元素的
我有一个可以在英语和德语之间切换语言的应用程序。当使用德语时,我希望货币显示将自动转换为德语格式。因此,在我的程序中,我必须检查区域设置,然后根据所选语言转换货币。我选择使用 locale.setDe
我是一名优秀的程序员,十分优秀!