在(例如)社交网站中,允许用户将自己的CSS规则添加到他的个人页面是不安全的?解决方法 这不安全.有多种方法可以在CSS中嵌入 JavaScript,使其至少被某些浏览器执行.谷歌“XSS CSS”
... . . 在(例如)社交网站中,允许用户将自己的CSS规则添加到他的个人页面是不安全的?.
解决方法
. 这不安全.有多种方法可以在CSS中嵌入 JavaScript,使其至少被某些浏览器执行.谷歌“XSS CSS”,并通过顶级点击查看.
不要这样做,除非你愿意对CSS进行硬核消毒,并在不可避免地绕过你的消毒并且你的用户的cookie受到损害时清理乱七八糟的东西.
. . .. ...