如何防范 CSS 中的 XSS？

Question

我正在考虑允许我们的在线系统的用户通过简单地逐个用户地包含它们来控制他们自己的 .css 文件。

避免上述文件中任何潜在 XSS 攻击的最佳方法是什么？

有可能完全保护我们自己吗？

我们可以为他们托管文件，然后自己检查它们，但对于我们的用户来说，如果能够更新它们会更方便。

Answer 1

允许 CSS 的问题是可能发生许多巧妙的攻击。 CSS 确实非常危险。

某些 CSS 表达式允许执行任意 JavaScript。通过黑名单很难防止这种情况，所以我建议白名单。

此外，有人可能会创建一个 CSS 文件来更改页面以模拟另一个站点、另一个页面，或者可能巧妙地定向页面上的其他元素。想象一下，如果有人能够将自己的登录表单放置在您真实的登录表单之上。然后他们可以拦截登录请求。根据您网站的设置方式，这可能可行，也可能不可能；但请注意！有些人将其称为“点击劫持”。

Answer 2

首先，正如其他人所说，要谨慎行事。除此之外，尝试将文件中期望的有效输入列入白名单。看看是否可以找到适合您所选框架的任何库（您没有提到这是什么），它可以验证字符串是否符合 CSS 结构。

您可能要考虑的另一件事是参数化某些 CSS 属性并允许用户配置它们（即颜色、字体等）。这将显着降低您的风险，因为它消除了任意创建您自己的恶意 CSS 的能力（相反，创建您自己的无辜 CSS！）

至于您最初的问题“是否有可能完全保护我们自己？”，这很简单- 不！