2. 질의 응답
  3. 스타일 속성이있는 보안 위험 (xss)

스타일 속성이있는 보안 위험 (xss)

2012-05-02 4 views
0

외부 소스에서 HTML을 표시 할 수 있으므로 표시하기 전에 위생적으로 처리합니다. 소스는 다소 신뢰할 만하지만 다른 레이어를 추가하려고합니다.스타일 속성이있는 보안 위험 (xss)

스타일 태그를 제거했지만 스타일 속성을 유지하고자합니다. 스크립트가 해당 속성에 배치 될 수 있으며 XSS에 어느 정도 사용할 수 있는지 궁금합니다. 즉, 스타일 태그를 허용 할 때의 구체적인 위험은 무엇입니까?

출처

2012-05-02 Tamar

답변

1

많은 위험 요소가 HTML 이메일과 공유됩니다. Gmail과 같은 웹 기반 리더에 HTML 이메일을 표시하는 경우 컨테이너에서 탈출하고 메일 인터페이스 자체를 엉망으로 만들지 않으려 고합니다. 이 때문에 전자 메일이 사용자에게 제공되기 전에 여러 스타일이 추출됩니다. 캠페인 모니터는 다른 메일 클라이언트에 good guide as to what CSS is allowed and disabled이 있습니다. 이것은 좋은 출발점 일 수 있습니다.

출처

2012-05-02 20:35:54

+0

답장을 보내 주셔서 감사합니다. 링크 된 리소스는 매우 유용합니다. 그러나 잠재적 인 XSS 위험에 대해 더 궁금해했습니다. 일부 경우에는 스타일 속성을 읽을 수 있습니다. 나는 그 사건이 무엇인지 궁금 해서요 ... – Tamar

+0

참조 : http://stackoverflow.com/questions/3607894/cross-site-scripting-in-css-stylesheets –

+0

고마워요! 그게 내가 찾고 있던거야! – Tamar

관련 문제

 관련 문제