我有一个应用程序,可以根据客户端的要求定制HTML模板。它在创建模板时会包含CSS样式脚本,并在生成模板时最后注入模板。通过这种方式,客户/支持人员可以动态生成各种HTML模板。如何在不引入XSS的情况下允许用户控制的CSS?
但是,当我为这个项目进行安全扫描时,所有CSS注入都被检测为安全漏洞(XSS注入)。我的应用程序本身是基于CSS注入设计的,因为它需要在没有开发人员参与的情况下创建动态HTML模板。
有没有办法在实现应用程序最终结果的同时防止XSS安全漏洞?
请让我知道是否有其他方式做到这一点。