我有一个动态网页,我希望其他人将其嵌入到他们的网页中,使用iframe(不一定使用任何更高级的技术,如 JavaScript)。
我没有自己提供各种设计和样式,而是考虑允许他们通过 HTTP GET 参数为我的页面提供自己的样式表,并通过 URL 嵌入这样的外部样式表 w/ <link type="text/css" rel="stylesheet" href... 在我的页面上。
这安全吗?它会违反我网站的安全范例吗?我知道可以单独使用 CSS 插入额外的文本,并且确实可以删除元素(这是我为我的用户提供此类功能的全部意义),但还有什么我应该注意的吗?
恶意人员是否可以通过这样的 CSS 将链接插入我的网站,以从我的 http 引用者中受益并可能违反某些检查,或者 CSS 插入是否仅限于文本?
在一般情况下,不,允许第三方 CSS 是不安全的。一些实现允许在 CSS 中使用 JavaScript,这意味着允许用户修改您的 CSS 允许他们在您的页面上下文中执行任意 JavaScript。
但是,如果这意味着某种“白标签”页面,它似乎是它所嵌入的站点的一部分,并且它实际上是您的页面这一事实只是一个实现细节,这看起来不像一个主要问题。指定“第三方”CSS 的人是网站所有者,所以此时它并不是真正的第三方——他们自己不会去 XSS!
但任何人都不应该将 CSS 放在本应由您控制的页面上,因为它实际上是在控制 CSS 的人的控制之下。
CSS 无法插入可链接的内容。它只能设置样式、定位和隐藏已经存在的内容。当然,人们可能会弄乱您的页面并发:before短信:after可能会使事情看起来有点混乱或更改现有链接上的标签,但不能更改 URL 本身。