В нашем приложении мы разрешаем отображение html из внешнего источника, поэтому перед его отображением мы его дезинфицируем. Источник несколько доверен, но мы хотим добавить еще один слой.Риск безопасности (xss) с атрибутами стиля
Мы удаляем тег стиля, но хотим сохранить атрибуты стиля. Я знаю, что скрипты могут быть помещены в этот атрибут и задавались вопросом, в какой степени они могут использоваться для XSS. Другими словами, каковы конкретные риски с помощью меток стиля?
Спасибо за ваш ответ, ресурс, который вы связали, кажется очень полезным! Однако мне было интересно узнать о потенциальных рисках XSS, которые я прочитал, может существовать с атрибутами стиля в некоторых случаях. Мне было интересно, что эти случаи ... – Tamar
Смотрите: http://stackoverflow.com/questions/3607894/cross-site-scripting-in-css-stylesheets –
Спасибо! это именно то, что я искал! – Tamar