2012-05-02 438 views
0

在我們的應用程序,我們允許HTML從外部音源的顯示,所以才顯示出來,我們清理它。源有點可信,但我們想添加另一個圖層。安全風險(XSS)的風格屬性

我們刪除樣式標籤,但希望保留樣式屬性。我知道腳本可以放在該屬性中,並且想知道這些腳本可以在多大程度上用於XSS。換句話說,允許樣式標籤有哪些具體風險?

回答

1

與HTML電子郵件共享許多相同的風險。如果您在基於網絡的閱讀器(例如Gmail)中顯示您的HTML電子郵件,則希望確保其無法逃離其容器並嘗試混淆郵件界面本身。因此,在將電子郵件發送給用戶之前,許多樣式都被撕掉了。 Campaign Monitor在不同的郵件客戶端中有一個good guide as to what CSS is allowed and disabled。這可能是一個很好的起點。

+0

感謝您的回答,您鏈接的資源似乎非常有幫助!不過,我想知道更多關於潛在的XSS風險,在某些情況下,我已閱讀可以與風格屬性一起存在。我想知道那些案件是什麼... – Tamar

+0

請參閱:http://stackoverflow.com/questions/3607894/cross-site-scripting-in-css-stylesheets –

+0

謝謝!這正是我一直在尋找的! – Tamar