个人中心
文章发布
退出
作者热门文章
- objective-c - iOS 5 : Can you override UIAppearance customisations in specific classes?
- iphone - 如何将 CGFontRef 转换为 UIFont?
- ios - 以编程方式关闭标记的信息窗口 google maps iOS
- ios - Xcode 5 - 尝试验证存档时出现 "No application records were found"
26
4
我有一个页面,它被请求允许通过 CSS 进行一些用户自定义。
我很乐意这样做,但我正在努力弄清楚如何确保它的安全。没有多少样式表会应用到页面上,但我原本认为如果我只是检查页面是一个 css 扩展,我就安全了。
不过,我做过的研究表明,xss很容易通过css来做。但是我还没有找到任何关于如何允许安全地包含用户生成的外部 css 的资源。
有人对此有建议或资源吗?
MySpace 和其他一些网站设法做到了这一点,但我看不出如何确保它是安全的。
我在外部 CSS 所在的页面上没有任何“安全”用户数据。但我确实得到了一些搜索变量。
----------------sliky回复后的附加数据--------------------
我不打算让每个用户都添加外部 CSS。然而,css 变量可以由特殊的合格用户设置,一旦该变量可用,基本上任何人都可以随意设置它。使用该变量的唯一方法是自己传播 URL,所以也许我过于担心安全性,但我对此表示怀疑。
我可以将其设置为不使用外部样式表对页面进行索引,但我仍然关心如何为最终用户维护安全性。
我会在我的网站上有一个链接 http://mysite.com/page?useracct=12343&extcss=http://location/of/css.css
我设置了 useracct,所以只有我允许启用不同 css 的用户才会为他们的页面创建链接。在我的网站上,我会使用 css 页面链接到该用户帐户。
所以有人不能只是过来说 http://mysite.com/page?extcss=http://new/dangerous/css.css
但是,他们可以创建链接 http://mysite.com/page?useracct=12343&extcss=http://new/dangerous/css.css如果创建危险 css 的人转发该链接,那么有人会到达该页面的唯一方法。
我想如果我对 extcss 进行散列和加盐处理,它可能会更安全。也许这是最好的方法?
最佳答案
使用具有 CSS 库的语言,或编写解析器从 CSS 构建类似 AST 的结构,然后检查是否存在不可靠的东西。
这可能比听起来更难,诸如 div 大小(吞没整个页面)、 float 和 z 顺序之类的东西将很难管理,您可能必须限制您可以提供的值。
一个好主意
创建一个可以转换为 CSS 的基于 XML 的主题模式。允许用户上传图片+XML生成主题。
XML 更易于控制。
PHP CSS Parser , Python CSS parsing
祝你好运
关于css - 如何使用用户添加的外部 css(如 myspace)管理安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1316904/
26
4
0
如何指示 webpack 排除所有 d3 模块? // does not work externals: { "d3-*": "d3" } 所以如果应用导入了d3-submod
这个问题在这里已经有了答案: 9年前关闭。 Possible Duplicate: What does “outer =>” really mean? 我在哪里可以找到有关信息 trait After
这是一个简单的循环,我正在尝试对性能进行基准测试。 var extremeLoop=function(n){ var time=new Date() var t=0; for(
问题+概述 下面是两个片段,其中包含最初隐藏的 div,然后通过单击 button 和 jQuery 的 .show() 显示。两个 div 都具有由外部样式表应用的 display: grid; 样
我有一个 HTML 页面和一个单独的 .js 文件,该文件包含在带有 的页面中标签。 这是我的 .js 文件: element = document.getElementById("test");
我在 linux 静态库项目中有 3 个文件,我想在两个类方法实现文件中使用的静态字段存在链接问题。我有 class1.h、class1main.cpp 和 class1utils.cpp。 clas
我正在尝试将颜色背景更改为默认背景颜色,当我点击输入框外 我尝试使用“null”或“none”但没有用? window.addEventListener('click', outsideClick);
我正在编写一个应用程序,要求用户在手机上选择各种类型的文件。我使用此代码启动文件选择器 Intent : Intent intent = new Intent(Intent.ACTION_GET_C
在 android 中,不可移动(内部)的外部存储和内部存储有什么区别?我不确定在哪里保存我的数据。我只需要保存一个人可以随时提取的游戏统计数据 谢谢 最佳答案 在许多较新的设备中,将不再有物理区别,
在 C++ 中,假设我们有这个头文件: myglobals.h #ifndef my_globals_h #define my_globals_h int monthsInYear = 12; #en
我正在尝试使用 externs 在 C++ 中连接到 Ada。这两种实现有什么区别? 实现A namespace Ada { extern "C" { int getN
这个问题在这里已经有了答案: Get selected element's outer HTML (30 个答案) 关闭 2 年前。 想象一下我们有这样的东西: Hello World 如果我们这样
假设我在模块的顶部有这个: Public Declare Function getCustomerDetails Lib "CustomerFunctions" () As Long 如果我从 VB6
我目前正在使用这段代码: var wordRandomizer = { run: function (targetElem) { var markup = this.creat
我们正在使用 SVN 试水,并以 Beanstalk 作为主机。我们的设置如下所示: 存储库:模块 模块一 模块二 模块 3 存储库:网站1 自定义网站代码 svn:对模块 1 的外部引用 svn:对
有没有办法在负载均衡器中设置自动外部 IP 分配给像谷歌这样的服务? 我在裸机上运行 Kubernetes。 谢谢 最佳答案 使用 nodePort 类型的服务,它会将您的服务绑定(bind)到所有节
是否有可能在 Controller 之外使用 generateUrl() 方法? 我尝试在带有 $this->get('router') 的自定义存储库类中使用它,但它没有用。 更新 我在这里找到了一
我目前正在尝试通过 Webpack 外部对象外部化 Angular 依赖项来缩短构建时间。到目前为止,我已经为 React 和其他小库实现了这一目标。 如果我只是移动 '@angular/compil
我想创建一个自动应用其他插件的插件(外部插件)。这要求在我称为“应用插件”之前为插件设置构建脚本依赖项。但是似乎我无法在插件中添加buildscript依赖项,或者得到了: 您不能更改处于未解析状态的
我是R包的创建者EnvStats . 有一个我经常使用的函数,叫做 stripChart .我刚开始学习ggplot2 ,并在过去几天里仔细研究了 Hadley 的书、Winston 的书、Stack
我是一名优秀的程序员,十分优秀!