Ich habe eine dynamische Webseite, die andere Leute in ihre Webseiten einbetten wollen, mit einer iframe
(nicht notwendigerweise mit irgendwelchen fortgeschritteneren Techniken wie JavaScript).Ist es sicher, ein beliebiges externes Stylesheet in meine Webseite einbetten zu dürfen?
Anstatt selbst alle Arten von Designs und Styles bereitzustellen, überlege ich mir, ihnen zu erlauben, ein eigenes Stylesheet für meine Seite über einen HTTP GET Parameter zu erstellen und ein solches externes Stylesheet über eine URL einzubetten w/<link type="text/css" rel="stylesheet" href
& hellip; auf meiner Seite.
Ist das sicher? Wird es das Sicherheitsparadigma meiner Website verletzen? Ich bin mir bewusst, dass zusätzlicher Text mit CSS allein eingefügt werden könnte, und tatsächlich könnten Elemente entfernt werden (was den Hauptaspekt darstellt, wenn ich solche Funktionen für meine Benutzer bereitstelle), aber alles, was mir sonst noch bewusst sein sollte?
Können böswillige Personen über ein solches CSS Links auf meine Website einfügen, um von meinem http-Referer zu profitieren und möglicherweise einige Prüfungen zu verletzen, oder ist die CSS-Einfügung auf Text beschränkt?
Importieren von etwas (was auch immer) von einer externen Ressource könnte jemals ein Sicherheitsrisiko sein. Aber um Ihre "Links" -Frage zu beantworten: nein. Sie könnten Elemente verstecken, Text hinzufügen usw., aber es ist nicht möglich, einen Link mit CSS zu erstellen (oder zumindest sollte es vom Browser verhindert werden, weil es Cross-Site-Tip ist). –
Siehe [Cross-Site-Scripting in CSS-Stylesheets] (http://stackoverflow.com/q/3607894/102937) –
Dies ist kein Duplikat von http://StackOverflow.com/questions/13876961/how-do- Ich-Sicher-Benutzer-Eingabe-ist-CSS-und-nicht-bösartiger Code, ich habe keine Texteingabe auf meiner Website. Ich möchte nur erlauben, ein externes Stylesheet zu referenzieren, keine Benutzereingaben auf meiner eigenen Domain zu speichern. – cnst