как справиться, безопасность с пользователем добавила внешнюю CSS (как MySpace)

Используйте язык с библиотекой CSS или напишите синтаксический анализатор для построения AST-подобной структуры из CSS, а затем проверьте на предмет хитрости.

Это может быть сложнее, чем кажется такими вещами, как размеры div (охват всей страницы), плавающие и z-порядки, будет сложно управлять, и вам, возможно, придется установить границы значений, которые вы можете предоставить.

хорошая идея

Создание тем на основе XML схема, которую можно перевести в CSS. Разрешить пользователям загружать изображения + XML для создания темы.

XML проще контролировать.

PHP CSS Parser , Python синтаксический анализ CSS

Удачи

Хотя наличие собственного языка для добавления CSS может показаться хорошим, вы все равно можете неизбежно столкнуться с теми же проблемами, что и разрешение им просто писать что угодно (например, загрузка внешних файлов и т. Д.)

Лучшая модель с точки зрения безопасности - это продумать, что именно они захотят настроить, и позволить им редактировать только эти вещи.

Так что вы можете предоставить возможности для настройки :

• Цвета фона
• Шрифты
• Изображения для разных вещей
• И т. Д.

У Twitter (в прошлый раз я все равно им пользовался) был хороший метод для этого, и в результате сайт стал настраиваемый, но с сохранением стандартного внешнего вида, что, ИМХО, великолепно.

Есть много способов, которыми CSS может выполнять произвольный JS. См.

• http://code.google.com/p/google-caja/wiki/CssAllowsArbitraryCodeExecution
• http://code.google.com/p/google-caja/wiki/CssImportsAllowUnsanitizedCodeExecution
• http: //code.google.com/p/google-caja/wiki/HistoryMining[1270 visibleЕсли вам нужен гибкий синтаксический анализатор и очиститель CSS, вы можете взглянуть на CssValidator и связанные с ним тесты, которые показывают некоторые из что он делает: CssValidatorTest