1. 首頁
  2. 問答
  3. 安全 - 通過HTTP或HTTPS css文件

安全 - 通過HTTP或HTTPS css文件

2015-11-04 99 views
0

情景是這樣的:網站的 主要部件是一臺服務器上。所有流量都通過https。我無法控制這臺服務器。安全 - 通過HTTP或HTTPS css文件

主題使用來自其他服務器的css文件和圖像。也通過https。我完全控制這臺服務器。

是多麼脆弱的主要場所(如何以及爲什麼)如果CSS文件和圖像會去通過http?我只詢問關於css和圖像。

我不知道有多相關,但服務器是Apache,語言是PHP。

----------------編輯------------
到目前爲止,有一個'中間男人'的攻擊誰可以更改CSS,從而隱藏我的內容,引入新圖像並添加更多文本。
創建實時鏈接,或 加JS ...

Here是關於這個主題的symcbean開始了很好的討論。

來源

2015-11-04 CoR

+0

易受攻擊?這樣做時,由於不安全的資源 – PeeHaa

+0

也有人會得到錯誤:好問題,但我還沒有明確的答案。只是因爲我不知道它可以創建什麼樣的安全漏洞(如果有的話)。 – PeeHaa

+0

我認爲這個問題在適合http://security.stackexchange.com/ – Ivar

回答

3

任何未加密的HTTP連接可以潛在地截獲和由男性-在中間人修改。這意味着,您通過HTTP連接檢索的任何資源都是不可信的;無法確認它是否是原來的資源。這意味着攻擊者可能會在您的頁面中包含您不打算包含的資源。

在CSS文件內容的情況下可以在您的網站(display: nonecontent: "Please go to example.com and enter your password")被改變,在可引入戰功圖像(通過越野車像客戶端解碼)的情況下,在Javascript的完全任意的行爲的情況下可以被注入(例如,將所有擊鍵發送到第三方服務器)。

來源

2015-11-04 11:21:53 deceze

+0

在瀏覽器中更改CSS的src實際上並未變得脆弱。 –

+0

不,但內容是... @BhojendraNepal – PeeHaa

+0

@Bhojendra您可以使用CSS隱藏內容並引入新內容。這可以用於從誤導到社會工程的任何事情。 – deceze

0

第三方可以修改這些CSS或圖像,或者通過篡改的飛行數據傳達不同的事,或通過假冒的對象。瀏覽器不知道是否從可靠的來源獲得這些信息,並且可能會抱怨mixed content issues。 CSS3有許多功能可能會帶來來自其他域的圖片或包含意外內容。

來源

2015-11-04 11:21:15 vtortola

+0

「包含意外內容。」你能舉出一些例子和清晰度。 – CoR

+0

http://stackoverflow.com/questions/2741312/using-css-to-insert-text – vtortola

相關問題

 相關問題