自定义CSS的漏洞有没有成熟可靠的方法阻止?

2012-03-21 22:31:52 +08:00
 dongbeta
V2EX提供了自定义CSS,但是是只对自己生效。

如果我的站点对每一个用户提供自定义CSS功能,任何人访问此用户的页面时都会输出此CSS,那么危险性有多大?

如果不允许使用下面的字符或字符串呢?

"<", ">", "javascript", "style"

谢谢。
3687 次点击
所在节点    问与答
6 条回复
Hyperion
2012-03-21 22:50:56 +08:00
用@import载入css的话, 应该不会有多大问题.
dongbeta
2012-03-21 23:13:35 +08:00
@Hyperion 也就是说我把用户提交的CSS在前台以文件的形式载入,就没问题了?
fanzeyi
2012-03-21 23:21:08 +08:00
@dongbeta 比如实现一个 /api/get_userstyle.css 的接口 然后根据 cookie 之类的 返回 text/css 的用户自定义的 CSS 内容..

然后再在这个页面 @import "/api/get_userstyle.css"; 之类的就ok了……
dongbeta
2012-03-21 23:25:13 +08:00
@fanzeyi 这个方式和我想的一样。但是如果真的这么简单的话,为啥能搜索到很多(比如“百度空间”)网站还是有CSS漏洞呢?
fanzeyi
2012-03-21 23:27:37 +08:00
@dongbeta 好久没上过百度空间了 我记得当时百度空间的模板是整个模板都可以自定义吧…… ..
Hyperion
2012-03-22 22:58:28 +08:00
@dongbeta 就算能, 估计也都是通过url('javascript:')这种畸形属性实现的, ie6朝上的浏览器基本都已经不支持了.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/30259

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX