我正在构建一个应用程序,它允许用户为他们自己的个人资料(有点像 MySpace、Friendster 或 Blogger)输入自定义 CSS。
问题是我很难找到一种通过 CSS 净化 XSS 攻击的方法。我尝试使用 HTMLPurifier,但它不起作用。一个例子:
html {
expression: alert('xss');
}
body {
background-color: #FFF;
}
HTMLPurifier 将允许这样做。
我需要为 HTMLPurifier 使用任何设置以使其无效吗?
谢谢!
更新
是表达式:通过 CSS 推送漏洞的唯一方法?如果是这样,正则表达式会比使用 HTMLPurifier 更有效吗?