大佬们,允许用户自定义 css ,要注意些什么

184 天前
 Leprax
V2EX 支持自定义 CSS ,博客园也支持(甚至支持 JS ),请问这方面怎么实现会好一些、要注意些什么,有源码可以参考吗
1474 次点击
所在节点    信息安全
10 条回复
codeself
184 天前
没有要注意什么,把博客页面整没了也是他自己的博客页整没了,和其他用户没关系
InDom
184 天前
远古时代听说过可以在 css 里面以某种特殊的方法实现执行脚本?没有确认过
sadfQED2
184 天前
自定义 js ?那得注意 xss 攻击吧?我利用 xss 把其他用户的 cookie 偷了咋办?
cozof
184 天前
某些浏览器某些版本,在 css 可用 expression 进行 XSS 攻击。
gouflv
184 天前
不太需要注意,xss 是 10 年前 IE 讨论的东西
fuzzsh
184 天前
qq 空间代码?
gledos
183 天前
通过 CSP 等策略,禁止用户的 CSS 有外部资源引用,怎么样?

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/style-src

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy/img-src
anUglyDog
183 天前
我记得有一种攻击方式:用 css 给每个输入框加样式,通过组合出复杂的选择器,每个输入字符都像某个接口发送请求,这样这个接口就能获得用户输入字符和输入顺序了
xieranmaya
183 天前
不要让用户能使用绝对定位,滤镜等特性
Leprax
183 天前
谢谢楼上回复

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/990751

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX