自定义CSS的漏洞有没有成熟可靠的方法阻止？

2012-03-21 22:31:52 +08:00

dongbeta

V2EX提供了自定义CSS，但是是只对自己生效。

如果我的站点对每一个用户提供自定义CSS功能，任何人访问此用户的页面时都会输出此CSS，那么危险性有多大？

如果不允许使用下面的字符或字符串呢？

"<", ">", "javascript", "style"

谢谢。

3571 次点击

所在节点

6 条回复

Hyperion

2012-03-21 22:50:56 +08:00

用@import载入css的话, 应该不会有多大问题.

dongbeta

2012-03-21 23:13:35 +08:00

@Hyperion 也就是说我把用户提交的CSS在前台以文件的形式载入，就没问题了？

fanzeyi

2012-03-21 23:21:08 +08:00

@dongbeta 比如实现一个 /api/get_userstyle.css 的接口然后根据 cookie 之类的返回 text/css 的用户自定义的 CSS 内容..

然后再在这个页面 @import "/api/get_userstyle.css"; 之类的就ok了……

dongbeta

2012-03-21 23:25:13 +08:00

@fanzeyi 这个方式和我想的一样。但是如果真的这么简单的话，为啥能搜索到很多（比如“百度空间”）网站还是有CSS漏洞呢？

fanzeyi

2012-03-21 23:27:37 +08:00

@dongbeta 好久没上过百度空间了我记得当时百度空间的模板是整个模板都可以自定义吧…… ..

Hyperion

2012-03-22 22:58:28 +08:00

@dongbeta 就算能, 估计也都是通过url('javascript:')这种畸形属性实现的, ie6朝上的浏览器基本都已经不支持了.

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.