我正在开发一个客户将使用的网站,方法是将其嵌入到他们网站的 iframe 中。我想让他们能够自定义内容的样式,以便他们可以使其适合他们网站的样式。
我的基本想法是让他们给我一个 CSS 文件的 URL,我应该将其包含在我提供给他们的页面中以填充 iframe。据我所知这是安全的,但我对 CSS 不是特别熟悉(尤其是较新的版本),所以我想验证一下。
是否有人可以构建一个 CSS 文件,让他们将代码注入我的网站或以其他方式访问我的域的 cookie 之类的东西?这真的安全吗,还是我需要想出一个不同的解决方案?
【问题讨论】:
标签: javascript css security xss
不,这是不安全的。 expression 和 -moz-binding 是通过 CSS 在某些浏览器上导致任意脚本执行的已知方法。 LiveJournal 遭受了非常公开的 XSS 攻击,这是由于用户提供的 CSS 中嵌入了 JavaScript。
由于 Mozilla 决定允许通过 CSS 执行任意 JavaScript,除了我们采用的解决方案之外,没有其他可行的解决方案。
精心设计的 CSS 样式表可以在某些浏览器的全局范围内执行未经处理的 javascript。
背景
CSS 包含多种用于更改周围标记和执行表达式的机制。
IE 有一个允许执行任意 javascript 的扩展。
expression属性在 http://msdn2.microsoft.com/en-us/library/ms537634.aspx 中描述利用动态属性的强大功能,现在不仅可以将属性值声明为常量,还可以声明为公式。 ... 对于脚本,动态属性可以是任何合法的 JScript 或 Microsoft Visual Basic Scripting Edition (VBScript) 语句。 http://msdn2.microsoft.com/en-us/library/ms533503.aspx
binding允许绑定到外部指定的脚本 http://developer.mozilla.org/en/docs/CSS:-moz-binding & http://developer.mozilla.org/en/docs/XBL:XBL_1.0_Reference:Elements#binding
-moz-binding允许通过 XML 接口进行绑定(也使用数据:URL)假设
不受信任的代码可以生成样式元素或样式属性,或者添加任意 CSS 规则并创建触发这些规则的 DOM 元素。
版本
IE 5 及更高版本(但不是 IE 8 或更高版本的“标准模式”)。
Mozilla/Firefox,版本未知。
【讨论】: