gpt4 book ai didi

html - 允许将任意外部样式表嵌入到我的网页中是否安全?

转载 作者:太空狗 更新时间:2023-10-29 13:50:31 27 4
gpt4 key购买 nike

我有一个动态网页,我希望其他人将其嵌入到他们的网页中,带有 iframe (不一定使用任何更高级的技术,如 JavaScript)。

与其自己提供各种设计和样式,不如让他们通过 HTTP GET 参数为我的页面提供他们自己的样式表,并通过带有 <link type="text/css" rel="stylesheet" href 的 URL 嵌入此类外部样式表。 ……在我的页面上。

这样安全吗?它会违反我网站的安全范例吗?我知道可以单独使用 CSS 插入额外的文本,而且确实可以删除元素(这就是我为用户提供此类功能的全部意义所在),但还有什么我应该注意的吗?

恶意人员是否可以通过这样的 CSS 将链接插入我的网站,以从我的 http referer 中获益并可能违反某些检查,或者 CSS 插入是否仅限于文本?

最佳答案

一般情况下,不会,allowing third-party CSS is not safe .一些实现允许 CSS 中的 JavaScript,这意味着允许用户修改您的 CSS 允许他们在您的页面上下文中执行任意 JavaScript。

但是,如果这意味着某种“白标签”页面,它似乎是它所嵌入的站点的一部分,并且它实际上是您的页面这一事实只是一个实现细节,那么这不是这似乎不是一个主要问题。指定“第三方”CSS 的人是站点所有者,因此此时它并不是真正的第三方——他们自己不会进行 XSS!

但其他任何人都不应该将 CSS 放在本应由您控制的页面上,因为它实际上是在控制 CSS 的人的控制之下。

关于html - 允许将任意外部样式表嵌入到我的网页中是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16676106/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com