1. 首页
  2. 问答
  3. 安全 - 通过HTTP或HTTPS css文件

安全 - 通过HTTP或HTTPS css文件

2015-11-04 65 views
0

情景是这样的:网站的 主要部件是一台服务器上。所有流量都通过https。我无法控制这台服务器。安全 - 通过HTTP或HTTPS css文件

主题使用来自其他服务器的css文件和图像。也通过https。我完全控制这台服务器。

是多么脆弱的主要场所(如何以及为什么)如果CSS文件和图像会去通过http?我只询问关于css和图像。

我不知道有多相关,但服务器是Apache,语言是PHP。

----------------编辑------------
到目前为止,有一个'中间男人'的攻击谁可以更改CSS,从而隐藏我的内容,引入新图像并添加更多文本。
创建实时链接,或 加JS ...

Here是关于这个主题的symcbean开始了很好的讨论。

来源

2015-11-04 CoR

+0

易受攻击?这样做时,由于不安全的资源 – PeeHaa

+0

也有人会得到错误:好问题,但我还没有明确的答案。只是因为我不知道它可以创建什么样的安全漏洞(如果有的话)。 – PeeHaa

+0

我认为这个问题在适合http://security.stackexchange.com/ – Ivar

回答

3

任何未加密的HTTP连接可以潜在地截获和由男性-在中间人修改。这意味着,您通过HTTP连接检索的任何资源都是不可信的;无法确认它是否是原来的资源。这意味着攻击者可能会在您的页面中包含您不打算包含的资源。

在CSS文件内容的情况下可以在您的网站(display: nonecontent: "Please go to example.com and enter your password")被改变,在可引入战功图像(通过越野车像客户端解码)的情况下,在Javascript的完全任意的行为的情况下可以被注入(例如,将所有击键发送到第三方服务器)。

来源

2015-11-04 11:21:53 deceze

+0

在浏览器中更改CSS的src实际上并未变得脆弱。 –

+0

不,但内容是... @BhojendraNepal – PeeHaa

+0

@Bhojendra您可以使用CSS隐藏内容并引入新内容。这可以用于从误导到社会工程的任何事情。 – deceze

0

第三方可以修改这些CSS或图像,或者通过篡改的飞行数据传达不同的事,或通过假冒的对象。浏览器不知道是否从可靠的来源获得这些信息,并且可能会抱怨mixed content issues。 CSS3有许多功能可能会带来来自其他域的图片或包含意外内容。

来源

2015-11-04 11:21:15 vtortola

+0

“包含意外内容。”你能举出一些例子和清晰度。 – CoR

+0

http://stackoverflow.com/questions/2741312/using-css-to-insert-text – vtortola

相关问题

 相关问题