|
|
4 回复 | 直到 15 年前
|
1
8
只要样式表用于他们自己的帐户,而不是其他人的帐户,那么我就让他们这样做。但是,因为它可以用来会话劫持某人(如果他们没有注销),所以我需要用户的密码来更改样式表。我还将强制将其存储在本地。 如果没有密码,劫机者需要做的就是: 本质的
如果不包括每个用户的字段,请使用
|
|
|
2
3
其他人所说的是完全正确的,但还有一点非常重要,即如果除了更新css的用户之外,任何人都可以查看他们的css,那么该用户可以在用户查看其页面的上下文中执行他们想要的任何javascript。最糟糕的情况是,用户使用恶意xss更新自己的页面,您查看他们的页面(以管理员身份登录),用户窃取您的密码并以您的身份登录并接管站点。 根据您的站点中存储的跨站点脚本中存在的其他安全问题,例如这可能会导致像myspace samy蠕虫这样的xss蠕虫。 http://www.thespanner.co.uk/2007/11/26/ultimate-xss-css-injection/ |
|
3
2
看来XSS和clickjacking都可以通过CSS实现。您当然应该小心CSS URL不能被CSRF攻击设置。 如果您的服务器请求加载原始CSS文件,那么您不想担心传出(或者可能是本地)连接。如果客户端正在这样做,那么您可能需要担心URL中的信息泄漏(幸运的是,通过URL重写的会话不再流行)。 |
|
|
4
0
这取决于它是如何使用的。如果一个用户可能看到您的站点使用了其他人的样式表,那么您就是在为自己设置滥用。 |
推荐文章
|
|
laurapons · 更改QTreeView特定列的文本颜色 6 年前 |
|
|
sick_cherry · 以编程方式添加样式表ASP。NET(VB) 7 年前 |
|
|
miatech · 两个按钮在simon游戏中不会居中 7 年前 |
|
|
four-eyes · 放置右上角react native 7 年前 |
|
|
user123 · 为什么标签称为链接?[已关闭] 7 年前 |
|
compilingJohnny · CSS样式未生效 8 年前 |
|
|
Sammy I. · JQuery没有删除类? 9 年前 |
|
|
gigi · 使用css设置Divs的样式 9 年前 |
|
|
Marco · Extjs更改显示字段的字体大小 10 年前 |
|
|
Chris Aung · PyQt4样式表小部件的组件名称 11 年前 |