Tôi đã có một trang mà nó đã được yêu cầu tôi cho phép một số tùy chỉnh người dùng thông qua CSS.cách quản lý bảo mật với người dùng thêm css bên ngoài (như myspace)
Tôi rất vui khi thực hiện việc này, nhưng tôi đang cố gắng tìm ra cách đảm bảo an toàn. Không có nhiều bảng định kiểu sẽ được áp dụng cho trang, nhưng ban đầu tôi nghĩ rằng nếu tôi vừa kiểm tra xem trang có phải là phần mở rộng css mà tôi có thể an toàn hay không.
Tuy nhiên, nghiên cứu tôi đã thực hiện cho thấy rằng xss dễ thực hiện thông qua css. Nhưng tôi đã không thể tìm thấy bất kỳ resouces về cách cho phép người dùng tạo ra css bên ngoài được bao gồm một cách an toàn.
Có ai có đề xuất hoặc tài nguyên cho việc này không?
MySpace quản lý để làm điều đó, cùng với một vài trang web khác, nhưng tôi không thể biết cách đảm bảo điều này sẽ được bảo mật.
Tôi không có bất kỳ dữ liệu người dùng 'bảo mật' nào trên trang nơi css bên ngoài đi. Nhưng tôi nhận được một vài biến cho một tìm kiếm.
---------------- dữ liệu bổ sung sau phản hồi của sliky ----------------------
Tôi không có kế hoạch cho phép mọi người dùng thêm một css bên ngoài. Tuy nhiên, biến css có thể được đặt bởi người dùng đủ điều kiện đặc biệt và sau khi biến đó có sẵn, về cơ bản, mọi người có thể đặt biến đó theo ý họ. Phương pháp duy nhất để nhận được biến đó đang được sử dụng là tự lan truyền URL, vì vậy có lẽ tôi lo ngại về vấn đề bảo mật, nhưng tôi nghi ngờ nó.
Tôi có thể đặt để trang không được lập chỉ mục bằng biểu định kiểu bên ngoài, nhưng tôi vẫn lo ngại về cách duy trì bảo mật cho người dùng cuối.
tôi sẽ có một liên kết trên trang web của anh nơi mà nó sẽ là http://mysite.com/page?useracct=12343&extcss=http://location/of/css.css
tôi thiết lập các useracct, vì vậy chỉ nơi người sử dụng tôi cho phép để cho phép các css khác nhau đã liên kết được tạo cho trang của họ. Trên trang web của tôi, tôi sẽ liên kết với tài khoản người dùng đó bằng trang css.
Vì vậy, ai đó có thể không chỉ đi cùng và nói http://mysite.com/page?extcss=http://new/dangerous/css.css
Tuy nhiên, họ có thể tạo liên kết http://mysite.com/page?useracct=12343&extcss=http://new/dangerous/css.css Cách duy nhất ai đó sẽ nhận được trang đó sẽ là nếu người đó đã tạo ra sự nguy hiểm css chuyển tiếp liên kết đó.
Tôi đoán nếu tôi băm và ướp các extcs, nó có thể an toàn hơn. Có lẽ đó là cách tốt nhất để đi?
phản hồi rất thông tin Aiden và cảm ơn liên kết trên trình phân tích cú pháp css. Tôi không nghĩ rằng người dùng tải lên xml + hình ảnh là những gì họ đang thực sự tìm kiếm. Chỉ cần cố gắng áp dụng một số kiểu đơn giản và để định vị, tôi luôn bao gồm biểu định kiểu của mình sau đó để xử lý mọi vấn đề nổi/z-index v.v. Đó là chủ yếu là một số kích thước nhỏ, màu sắc và hình ảnh nền mà họ có thể điều chỉnh. Với 'điều này có thể khó hơn âm thanh' và in đậm 'Chúc may mắn' bạn có gợi ý rằng có lẽ tôi không nên làm điều này? – pedalpete
Không sao, chỉ cần nhớ rằng những thứ như thế! Những thứ quan trọng và tối nghĩa khác có thể khiến bạn khó chịu nếu bạn cho phép người dùng tải lên css (hoặc bất kỳ nội dung nào cho vấn đề đó). Làm cho nó gần như toán học ... làm việc ra các hoán vị của tất cả các cú pháp có sẵn bạn muốn chặn và kiểm tra xem nó hoạt động. Phụ thuộc vào cách vệ sinh đầu vào quan trọng là ... nếu đó là một trang web nhỏ cho bạn bè, bạn có thể thư giãn một chút :) Đi cho nó tôi nói! –