个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我们允许在我们的 CMS 中通过自定义 CSS 编辑器使用 @import,但我想知道这样做是否让我们自己面临潜在的安全风险,是否可以使用它XSS?
如果是这样,那将如何运作?此外,我们如何保护自己免受此类攻击?
仅供引用,我们实际上并没有在自定义 CSS 中保留 @import 语句,它们通过 preg_replace_callback() 被剥离并替换为它们的实际通过 file_get_contents() 定位内容。这样 CSS 仍然可以被缓存而不阻止页面加载,但可能让我们有机会过滤使用的 URL,甚至是返回的内容。
编辑:
经过@duskwuff 的快速教育后,很明显提供服务存在很多潜在问题,但看起来类似的问题和答案(此处:https://stackoverflow.com/a/5209050/1058733)表明可以使用 HTMLPurifier + 非常安全地完成CSSTidy 在 file_get_contents() 之后和缓存之前清理完全适合我们脚本的 CSS 输入,另外在保存对象过程中进行良好测量。
最佳答案
是的。一般来说,CSS 是不安全的 - 有多种方法可用于注入(inject) Javascript 代码,包括但不限于:
expression() - 在 Internet Explorer 7 及更早版本中)行为 - 在 Internet Explorer 中)根据您网站的性质,不受限制的 CSS 也可用于通过重新格式化页面内容以看起来像密码提示来窃取用户的密码,或者通过重新格式化或隐藏页面的重要组件来拒绝访问网站(例如,隐藏“登录”链接)。
不要让用户输入将在您的网站上使用的 CSS,除非您准备好完全解析它并根据批准的属性和选择器的白名单对其进行验证。
关于php - XSS 是否可以通过 @import 实现,如果可以,如何实现?有什么方法可以防止它吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20479090/
25
4
0
我刚刚通过更改 import * as CodeMirror 修复了一个错误简单明了import CodeMirror . 我复制了this code . (从 TypeScript 移植) impo
我调试(在 PyCharm 中)一个脚本。我在断点处停止,然后转到调试控制台窗口,然后从那里调用导入行,如下所示: import my_util1 from my_utils 然后我调用 my_uti
谁能给我解释一下 import 语句是如何工作的? 例如,我在 myapp/app/models 包中有一个类型 User: package models type User struct {
我想导入 Control.App进入一个引用 PrimIO.PrimIO 的模块通过不合格的名称 PrimIO在很多地方。当然,问题在于 Control.App还导出一个名为 PrimIO 的定义.我
我应该使用 from foo import bar 或者 import foo.bar as bar 当导入模块 还有无需/希望更改名称 (bar)? 有什么不同吗?有关系吗? 最佳答案 假设 bar
我正在 Windows 上使用 Theano 进行深度学习实验的第一步,我很惊讶仅仅加载库需要多少时间。 这是小测试程序: from time import time t0 = time() impo
在 TypeScript 中,如何在不创建任何别名的情况下从文件“导入 *”? 例如我有一个包含顶级导出函数的文件“utils”,我想导入所有这些函数而不为每个函数重新创建别名。 像这样: impor
我应该使用 from foo import bar 或 import foo.bar as bar 当导入模块并且不需要/希望更改名称(bar)? 有什么不同吗?有关系吗? 最佳答案 假设bar是fo
这个问题在这里已经有了答案: Use 'import module' or 'from module import'? (23 个回答) 关闭8年前。 我想知道代码片段之间是否有任何区别 from u
我试过了 from urllib import request mine = request.Request() 和 import urllib.request mine = urllib.reque
所以,我有一个关于 Python 导入的小谜团。我确信出于某种原因事情应该是这样的,因为 Guido 很少出错。但是,为什么会这样呢? $ cat myModule.py #!/usr/bin/pyt
我们正在将 Rails 3.2 应用程序升级到 Rails 4.0。 我们有一个 assets/stylesheets/application/index.css.sass加载一些其他 sass 文件
我正在开发一个相当小的 Typescript 代码库,该代码库已经足够大,可以拆分到多个文件中。这是一个二十一点游戏。我目前有一堆代码,看起来像: var player = new Player();
是否可以以当模块为 use 时的方式编写模块? d 没有显式导入所有子例程都被导入,当它是 use d 显式导入只有这些显式导入的子程序可用? #!/usr/bin/env perl6 use v6;
这个问题在这里已经有了答案: how to watch changes in whole directory/folder containing many sass files (9 个回答) 5年前
我真的很难让它在 xcode 4 中工作。 我有一个项目将在许多应用程序(网络)中重用,因此我创建一个工作区并添加我的两个项目。到目前为止,一切都很好....这就是失败的地方.. #import "J
经典提取器和新提取器之间的主要区别是什么,哪个最好用? 最佳答案 经典提取器使用原始工作流程,与爬虫和连接器相同。 新的提取器更加精简,通常看起来和感觉都更好,并且经典提取器中的许多小错误已在新提取器
在处理 google webfont import mixin 时,我注意到无法动态构建 @import URL。 .gFontImport (@name, @weights, @subsets) {
我正在关注Django 1.8 tutorial 。在我的项目中mysite ,有一个源文件夹polls 。文件夹中有views.py模块其中 index函数已定义。还有一个urls.py文件: fr
我想使用名为 warp 的第三方库编译一个简单的 Rust 程序: [package] name = "hello-world-warp" version = "0.1.0" [dependencie
我是一名优秀的程序员,十分优秀!