このアプリでは、外部ソースからの html の表示を許可しているため、表示する前にそれをサニタイズします。ソースはある程度信頼されていますが、別のレイヤーを追加したいと考えています。
style タグを削除しますが、style 属性は保持したいと考えています。スクリプトをその属性に配置できることを知っており、これらを XSS にどの程度使用できるか疑問に思っていました。言い換えれば、スタイルタグを許可することの具体的なリスクは何ですか?
1 に答える
1
同じリスクの多くは、HTML メールでも共有されます。Gmail などの Web ベースのリーダーで HTML メールを表示している場合は、そのコンテナーから逃れることができないようにし、メール インターフェイス自体を台無しにしようとする必要があります。このため、電子メールがユーザーに配信される前に、多くのスタイルが取り除かれます。Campaign Monitor には、さまざまなメール クライアントで許可されている CSS と無効になっている CSS に関する優れたガイドがあります。これは良い出発点かもしれません。
于 2012-05-02T20:35:54.367 に答える