我正在通過將網站嵌入到其網站中的iframe中來使用該網站。我想給他們自定義內容樣式的能力,以便他們能夠適應他們網站的風格。是否包含外部CSS文件安全,還是可能導致代碼注入?
我的基本想法是讓他們給我一個CSS文件的URL,我應該在我給他們填充iframe的頁面中包含該文件。據我所知這是安全的,但我不是特別熟悉的CSS(尤其是新版本),所以我想驗證這一點。
有沒有什麼辦法可以讓別人構建一個CSS文件,讓他們將代碼注入我的網站或以其他方式訪問我的域名cookie等內容?這真的很安全,還是我需要提出一個不同的解決方案?
我認爲你最好讓用戶將自定義樣式粘貼到textarea中,然後在將其包含在視圖中之前,您可以驗證它實際上是CSS並且沒有任何傷害。 –