0
在我们的应用程序,我们允许HTML从外部音源的显示,所以才显示出来,我们清理它。源有点可信,但我们想添加另一个图层。安全风险(XSS)的风格属性
我们删除样式标签,但希望保留样式属性。我知道脚本可以放在该属性中,并且想知道这些脚本可以在多大程度上用于XSS。换句话说,允许样式标签有哪些具体风险?
A
回答
1
与HTML电子邮件共享许多相同的风险。如果您在基于网络的阅读器(例如Gmail)中显示您的HTML电子邮件,则希望确保其无法逃离其容器并尝试混淆邮件界面本身。因此,在将电子邮件发送给用户之前,许多样式都被撕掉了。 Campaign Monitor在不同的邮件客户端中有一个good guide as to what CSS is allowed and disabled。这可能是一个很好的起点。
相关问题
- 1. SSL系统属性 - 安全风险?
- 2. WordPress - 安全风险?
- 3. AHAH是安全风险吗?
- 4. WCF自签证明的安全风险
- 5. 框架登录中的安全风险
- 6. Apache中auto_prepend_file的安全风险?
- 7. Drupal中$ update_access_free = true的安全风险
- 8. 动态网站的安全风险
- 9. 启用MSDTC的安全风险
- 10. 写入文件夹和安全风险
- 11. ASP MVC会话安全风险
- 12. 多个提交按钮安全风险
- 13. 个人使用泡椒安全风险
- 14. Linux内核模块 - 安全风险?
- 15. PHP过滤器和安全风险
- 16. 使用xpath有什么安全风险?
- 17. 表单身份验证安全风险
- 18. ElementRef安全风险角度2
- 19. 可以image.src是一个安全风险?
- 20. 安全风险披露php文件名
- 21. 有任何安全风险codealike?
- 22. LibGDX中的风险风格游戏
- 23. python属性风格
- 24. 风险
- 25. 风险
- 26. 没有传输安全性的WCF用户名认证存在安全风险?
- 27. 选择风格属性的
- 28. 获得风格的属性
- 29. 风格属性的jQuery
- 30. 风险的mod_proxy
感谢您的回答,您链接的资源似乎非常有帮助!不过,我想知道更多关于潜在的XSS风险,在某些情况下,我已阅读可以与风格属性一起存在。我想知道那些案件是什么... – Tamar
请参阅:http://stackoverflow.com/questions/3607894/cross-site-scripting-in-css-stylesheets –
谢谢!这正是我一直在寻找的! – Tamar