Действительно ли безопасно позволить пользователям редактировать CSS?
В основном linq является смесью некоторых средств языка (компилятор) и некоторых расширений платформы. Таким образом, когда Вы пишете запросы linq, они получают выполняемое использование соответствующие интерфейсы, такие как IQuerable. Также обратите внимание, что время выполнения не имеет никакой роли в linq.
, Но трудно отдать должное linq в коротком ответе. Я рекомендую прочитать некоторую книгу для получения в нем. Я не уверен в книге, которая говорит Вам внутренности Linq, но , Linq в Действии дает пользу, практическую об этом.
7 ответов
Javascript может быть выполнен в CSS, вы должны убедиться, что используете некоторую фильтрацию.
Я также видел инциденты, когда кто-то покрыл всю страницу на сайте, контролируемом Microsoft, с помощью прозрачный пиксель, ссылающийся на вредоносный сайт. Щелчок в любом месте приводил к появлению сайта злоумышленников.
Однако это могло быть безопасным, если пользователь видит только свой собственный CSS, и у них не будет возможности, чтобы кто-то другой просмотрел то, что они сделали. В противном случае какой-нибудь белый список или уценка будут работать.
Я бы не стал этого делать, потому что CSS может показать изображение, которое может использовать уязвимость ОС в примере.
С уважением.
В зависимости от вашего сервера и конфигураций, может быть возможно запускать серверный код из файла CSS (хотя это не поведение по умолчанию на серверах I знаю).
Краткий ответ: нет . Первое, что приходит на ум, - это выражения MSIE.
Если эти файлы CSS доступны для всех пользователей сайта, а не только для человека, который загрузил, то существует возможный вектор XSRF - вы можете включить ссылки на внешние ресурсы в CSS, которые производят «нежелательные» эффекты для запрашивающего их пользователя.
Вы можете получить накладные расходы на службу поддержки клиентов, если пользователь со своим собственным CSS привинчивает экран до такой степени, что он не сможет найти элементы управления, чтобы восстановить его. В этом случае вы, как администратор, должны будете сделать это вручную.
В этом случае возможное решение. Укажите конкретный URL, чтобы сбросить стиль. Что-то вроде:
http://mysite.com/users/234234/reset
И совет пользователю, когда он собирается изменить стиль, запомнить этот URL и просто следовать ему, если что-то вышло из-под контроля. При нажатии пользовательские стили будут деактивированы.
Short answer: no it isn't. HTC in IE and XBL in Mozilla are both potential attack vectors. A hack of this nature was used to steal 30,000 MySpace passwords a while back.
Source: Simon Willison, Web Security Horror Stories