个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
我目前有一个表单允许管理员更改网站上的基本 CSS 属性。我正在考虑为高级管理员创建一个表单,它将在文本区域内显示整个 CSS 文件并允许他们自由编辑它。我不担心文件被删除,因为它可以很容易地恢复。我担心的是有人可能会向 CSS 文件添加一些代码,这可能会对 Web 服务器造成重大损害。是否可以从 CSS 文件执行恶意代码?
最佳答案
是的,有一些XSS考虑的风险。 XSS 不会直接使用恶意代码攻击您的网络服务器。这是通过他们自己的浏览器对您系统的其他用户的攻击。基本上,它是一个基于浏览器的代码执行缺陷,尽管受限于 JavaScript 的功能(虽然很多,但无法从浏览器沙箱中逃脱)。
当您让他们编辑 CSS 文件 中的文本时,这会减轻一些只有在 HTML 文档中嵌入 CSS 时才有可能发生的攻击(例如通过 STYLE="" 属性和<style> 标签)。
但是,仍然存在以下风险:
expression指令允许将 JavaScript 插入到 CSS 样式表中。请注意,这仅影响 Internet Explorer 版本 8 及更早版本。url指令可以允许 JavaScript: Internet Explorer 6 上的样式 URL。-moz-binding 执行脚本在 Firefox 2 和 3 上可用。 Google Browser Security Handbook自 Firefox 3 以来似乎没有更新。This post表示现在已修复此问题,因此必须可以从您自己的域读取 XML 文件。当前版本的 Firefox 似乎无法使用 XBL。请注意,允许用户更改您的 CSS 使他们能够自由定位文本。这将使恶意用户能够用他们的 CSS 代码模仿受信任的 UI 元素,并可能能够用新呈现的页面来欺骗用户。这在很大程度上取决于当前的功能和网站其余部分的意图。一定要牢记这一点。
关于html - 能否从 CSS 文件执行恶意代码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30533385/
27
4
0
我有一个名为 main.css 的 css 文件和另一个名为 style.css 的文件。我怎样才能在 main.css 中做到这一点? .someClass { //apply rules to
在更新我的 css 之前,我在 Login.css 中有以下内容: body { background-image: url('./pictures/fond.png'); bac
我的 share point 2013 核心 css 和我的 css 之间存在 css 冲突。所以我想把我所有的类都放在 div #s4-workspace 下但是我搜索了一种方法来将所有类分组到这个
我知道您可以覆盖 jsp 页面从 jsp 包含 CSS 文件(即全局 CSS 文件)继承的 CSS 属性。 但是,如果元素中的某个属性弄乱了特定页面,而我不想只使用内联 CSS 在该页面中使用它怎么办
我刚刚发现了 initial-scale 元属性。 以前,我一直在使用 default.css 来定义我所有的样式和大小(用于字体和元素),以便它们在桌面计算机的屏幕上显示得很好。然后,如果您使用的是
我正在尝试使用 LESS CSS 来编写我的 CSS。我已经按顺序导入了 style.less 和 less.js 文件。 现在我想提取 LESS 生成的 CSS。有什么办法可以做到吗?我不想使用脚本
我想知道是否有任何一种软件可以读取大量内联样式中的 HTML 文档并将所有这些样式转换为外部 css 文件。如果只有一页,我可以手动完成。但是有100页。有人有想法吗? 最佳答案 就像有人说的那样,“
当我想从 Styled Components 迁移到 CSS Modules 时,出现了以下问题。 假设我有以下样式组件,它接受动态参数 offset和一个动态 CSS 字符串 theme : con
有没有办法将 CSS 类定义为与另一个类相等?例如,如果我有一个类: .myClass{ background-color: blue; } 有没有一种方法可以将第二个类定义为与 myClas
我正在尝试制作一组按钮,这些按钮贴在页面底部并且由固定的空间隔开。我正在使用 angularJS 的 ng-repeat 指令通过 ajax 请求获取数据,然后我用它来显示按钮。 我的问题在于让按
浏览器是否在加载 CSS 文件时解析 CSS?还是在整个 CSS 文件被浏览器下载后才进行解析?不同浏览器的做法有区别吗?我在哪里可以找到这种底层信息? 这个问题不是 Load and executi
这个问题在这里已经有了答案: Can a CSS class inherit one or more other classes? (29 个答案) 关闭 3 年前。 标题有点乱,我给大家看一下。假
我遇到了最奇怪的问题...... 在最简单的形式中,我有一个包含以下内容的 index.html 文件: (在尝试确定根本原因的过程中,我已经大大减少了它) 当我查看页面的源代码时,我得到以下信息:
我正在使用 Mindscape Workbench 来最小化我的 scss 文件。我的页面设置为使用 *.min.css 文件。在随机时间,min 文件不会与系统的其余部分一起发布。 我有很多 css
请告诉我 CSS 框架和 CSS 网格之间的区别。 最佳答案 CSS 框架也可以是 CSS 网格框架。 CSS 网格框架用于构建 CSS 布局。有一些框架除了构建布局还有其他用途,例如 Hartija
我有无法从页面中删除或更改的 original.css 文件。原始.css table { border-collapse: collapse; border-spacing: 0;
我以前使用 bootstrap css import 很好。 但是我正在尝试使用 CSS 模块,所以我添加了几行。 { test: /\.css$/, use:
有没有办法在 css 选择器中创建一个 css 组。 例如: .SectionHeader { include: .foo; include: .bar; include: .
今天我学习了 CSS 中的两个概念,一个是 CSS 定位(静态、相对、绝对、固定),另一个是 CSS Margin,它定义了元素之间的空间。 假设我想移动一个元素,这是最好的方法吗?因为这两个概念似乎
var paths = { css: './public/apps/user/**/*.css' } var dest = { css: './public/apps/user/css/' } /
我是一名优秀的程序员,十分优秀!