10

私は、他の人が自分の Web ページに埋め込んでほしい動的な Web ページを持っていますiframe(必ずしも JavaScript のようなより高度な技術を使用する必要はありません)。

あらゆる種類のデザインとスタイルを自分で提供する代わりに、HTTP GET パラメーターを介してページに独自のスタイルシートを提供し、URL を介してそのような外部スタイルシートをページに埋め込むことができるようにすることを考えて<link type="text/css" rel="stylesheet" hrefいます。

これは安全ですか?私の Web サイトのセキュリティ パラダイムに違反しますか? CSSだけで余分なテキストを挿入でき、実際に要素を削除できることは承知しています(これが、ユーザーにそのような機能を提供することの要点です)が、他に注意すべきことはありますか?

悪意のある人物がそのような CSS を介して私のサイトにリンクを挿入し、http リファラーを利用していくつかのチェックに違反する可能性がありますか? または CSS の挿入はテキストに限定されていますか?

4

2 に答える 2

5

一般的なケースでは、いいえ、サードパーティの CSS を許可することは安全ではありません。一部の実装では、CSS で JavaScript を使用できます。つまり、ユーザーが CSS を変更できるようにすると、ページのコンテキストで任意の JavaScript を実行できるようになります。

ただし、これが一種の「ホワイト ラベル」ページであり、埋め込まれているサイトの一部のように見え、それが実際にあなたのページであるという事実が単なる実装の詳細である場合、これは次のようには見えません。大きな懸念事項。「サードパーティ」CSS を指定しているのはサイトの所有者であるため、その時点では実際にはサードパーティではありません。彼ら自身が XSS を使用するわけではありません。

しかし、CSS を制御している人が実際に制御しているため、あなたの制御下にあることを意図したページに他の誰も CSS を配置するべきではありません。

于 2013-05-21T18:15:02.347 に答える