限制 CSS 中的脚本执行

【问题标题】:Restricting script execution in CSS限制 CSS 中的脚本执行
【发布时间】:2010-12-18 07:38:25
【问题描述】:

我正在编写一个允许用户输入 CSS 规则的 Rails 应用程序,并且我想限制脚本执行。禁止“绑定”(对于-moz-binding)和“行为”是否足够?它将通过在保存之前调用的简单正则表达式来实现。

还有其他方法可以将脚本包含到 css 样式表中吗?

【问题讨论】:

    标签: ruby-on-rails css


    【解决方案1】:

    已经一次又一次地证明,黑名单是行不通的。保留一份您可以安全允许的 CSS 白名单。

    【讨论】:

      【解决方案2】:

      XSS 有多种方法。这是cheat sheet

      这是一个完整的列表吗?

      从不

      足够有创意的攻击者会找到一种方法来绕过你微不足道的解析器。

      【讨论】:

      • ha.ckers.org 消失了。此外,这通常处理脚本标签注入,而不是 XSS-in-CSS。
      • @fahadsadah 我想我应该在添加之前检查我的书签。当天早些时候,我曾访问过我试图链接到的页面。
      猜你喜欢
      • 1970-01-01
      • 2013-08-29
      • 1970-01-01
      • 1970-01-01
      • 2012-08-25
      • 2012-07-01
      • 2021-02-12
      • 2010-09-09
      • 2013-03-24
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode