在我们的应用程序中,我们允许显示来自外部源的 html,因此在显示它之前,我们会对其进行清理。来源有点可信,但我们想添加另一层。
我们删除了样式标签,但希望保留样式属性。我知道脚本可以放置在该属性中,并且想知道这些可以在多大程度上用于 XSS。换句话说,允许样式标签的具体风险是什么?
问问题
949 次
1 回答
1
许多相同的风险与 HTML 电子邮件共享。如果您在基于 Web 的阅读器(例如 Gmail)中显示 HTML 电子邮件,您需要确保它无法逃脱其容器并尝试弄乱邮件界面本身。因此,在将电子邮件提供给用户之前,许多样式都被删除了。Campaign Monitor 对在不同的邮件客户端中允许和禁用哪些 CSS 有很好的指导。这可能是一个很好的起点。
于 2012-05-02T20:35:54.367 回答