У меня есть динамическая веб-страница, которую я хочу, чтобы другие люди вставляли свои веб-страницы с iframe (не обязательно с помощью каких-либо более продвинутых методов, таких как JavaScript).Можно ли разрешить встраивать произвольную внешнюю таблицу стилей на мою веб-страницу?
Вместо того, чтобы создавать всевозможные конструкции и стили самостоятельно, я собираюсь предоставить им собственную таблицу стилей для моей страницы через параметр HTTP GET и вставить такую внешнюю таблицу стилей через URL w/<link type="text/css" rel="stylesheet" href & hellip; на моей странице.
Безопасно ли это? Будет ли это нарушать парадигму безопасности моего веб-сайта? Я знаю, что дополнительный текст может быть вставлен только с помощью CSS, и действительно, элементы могут быть удалены (что является для меня целым моментом, предоставляющим такую функциональность для моих пользователей), но что-нибудь еще, о чем я должен знать?
Могут ли злоумышленники вставлять ссылки на мой сайт с помощью такого CSS, чтобы извлечь выгоду из моего HTTP-реферала и потенциально нарушить некоторые проверки, или вставка CSS ограничена текстом?
Импорт чего-либо (независимо от) внешнего ресурса может быть угрозой безопасности. Но чтобы ответить на ваш вопрос «ссылки»: нет. Они могут скрыть элементы, добавить текст и т. Д., Но невозможно создать ссылку с css (или, по крайней мере, это должно быть предотвращено браузером, потому что это кросс-сайт srcipting). –
См. [Скрипты между сайтами в таблицах стилей CSS] (http://stackoverflow.com/q/3607894/102937) –
Это не дубликат http://stackoverflow.com/questions/13876961/how-do- i-обеспечить-user-input-is-css-and-not-malicious-code, у меня нет текстового ввода на моем сайте. Я хочу только разрешить ссылку на внешнюю таблицу стилей, а не хранить пользовательский ввод в моем собственном домене. – cnst