Риск безопасности (xss) с атрибутами стиля

В нашем приложении мы разрешаем отображение html из внешнего источника, поэтому перед его отображением мы его дезинфицируем. Источник несколько доверен, но мы хотим добавить еще один слой.Риск безопасности (xss) с атрибутами стиля

Мы удаляем тег стиля, но хотим сохранить атрибуты стиля. Я знаю, что скрипты могут быть помещены в этот атрибут и задавались вопросом, в какой степени они могут использоваться для XSS. Другими словами, каковы конкретные риски с помощью меток стиля?

источник

2012-05-02 Tamar

Многие из тех же рисков распространяются на электронные письма HTML. Если вы показываете свой HTML-адрес электронной почты в веб-читателе, таком как Gmail, вы хотите убедиться, что он не сможет убежать из своего контейнера и попытаться связать себя с самим почтовым интерфейсом. Из-за этого многие стили вырываются до того, как электронное письмо будет отправлено пользователю. Монитор кампании имеет good guide as to what CSS is allowed and disabled в разных почтовых клиентах. Это может быть хорошей отправной точкой.

источник

2012-05-02 20:35:54

Спасибо за ваш ответ, ресурс, который вы связали, кажется очень полезным! Однако мне было интересно узнать о потенциальных рисках XSS, которые я прочитал, может существовать с атрибутами стиля в некоторых случаях. Мне было интересно, что эти случаи ... – Tamar

Смотрите: http://stackoverflow.com/questions/3607894/cross-site-scripting-in-css-stylesheets –

Спасибо! это именно то, что я искал! – Tamar

Риск безопасности (xss) с атрибутами стиля

ответ

Смежные вопросы