安全性-http或https上的css文件

场景如下： 网站的主要部分在一台服务器上。所有流量都通过https。我无法控制这台服务器

主题使用来自其他服务器的css文件和图像。也可以通过https。我完全控制了这台服务器

如果css文件和图像通过http传输，主站点（如何和为什么）有多脆弱？我问的只是css和图像

我不知道这有多重要，但服务器是Apache，语言是PHP

----------------编辑------------
到目前为止，有一种“中间人”攻击，它可以更改css，从而隐藏我的内容，引入新图像并添加更多文本。
但是可以不创建实时链接，或者添加js

---

是由symcbean开始的关于此主题的一个很好的讨论。

第三方可能会修改这些CSS或图像以传达不同的信息，或者动态篡改这些数据，或者欺骗目标。浏览器不知道这些信息是否来自可靠来源，可能会抱怨。CSS3有许多功能，可能会带来来自另一个域的图片或包含意外内容。

第三方可能会修改这些CSS或图像以传达不同的内容，或者动态篡改这些数据，或者欺骗目标。浏览器不知道这些信息是否来自可靠来源，可能会抱怨。CSS3具有许多功能，可以从另一个域带来图片或包含意外内容。

任何未加密的HTTP连接都可能被中间的人截获和修改。这意味着，通过HTTP连接检索的任何资源都是不可信的；无法确认它是否是预期的原始资源。这意味着攻击者可以在您的页面中包含您不希望包含的资源

---

在CSS文件的情况下，可以在您的网站上更改内容（

display:none

，

content:“请访问example.com并输入您的密码”

），在图像攻击的情况下（通过错误的图像解码客户端），在Javascript的情况下，可能会注入完全任意的行为（例如，向第三方服务器发送所有按键）.

任何未加密的HTTP连接都可能被中间的人截获和修改。这意味着，您通过HTTP连接检索的任何资源都是不可信的；无法确认它是否是预期的原始资源。这意味着攻击者可能能够在您的页面中包含您未使用的资源我打算包括

---

---

在CSS文件的情况下，可以在您的网站上更改内容（

display:none

，

content:“请访问example.com并输入您的密码”

），在图像攻击的情况下（通过错误的图像解码客户端），在Javascript的情况下，可能会注入完全任意的行为（例如，将所有击键发送到第三方服务器）。

易受攻击的是什么？由于不安全的资源，人们在这样做时也会出错。我认为这个问题更适合@PeeHaa：好问题，但我没有明确的答案。只是因为我不知道它会造成什么安全漏洞（如果有的话）。在安全性方面已经有了一个关于topis的讨论。stackexchange:易受攻击的是什么？人们在这样做时也会出错，因为不安全的资源。我认为这个问题更适合@PeeHaa:好问题，但我没有明确的答案。只是因为我不知道它会造成什么安全漏洞（如果有的话）。在security.stackexchange上已经有一个关于topis的讨论。在浏览器中更改css的src并不会变得很容易受到攻击。没有，但内容是…@BhojendraNepalYou可以或不能接受你想要的一切，但这个答案在任何情况下都是完全正确的point@Bhojendra您似乎没有意识到CSS对于改变内容有多么强大t、 而这可能会减少什么样的安全实现。@CoR示例始终取决于具体情况。从理论上讲，在您的站点上做一些您不打算做的事情就足够了。总有一天会有人将这个理论上的安全漏洞开发成一个实际的漏洞。您不会忽略明显的入口点它是无害的，因为你现在想不出一个具体的漏洞。在浏览器中更改css的src并不会真的变得容易受到攻击。不，但内容是…@BhojendraNepalYou可以或不能接受你想要的一切，但这个答案在任何情况下都是完全正确的point@Bhojendra您似乎没有意识到CSS对于改变内容有多么强大t、 而这可能会减少什么样的安全实现。@CoR示例始终取决于具体情况。从理论上讲，在您的站点上做一些您不打算做的事情就足够了。总有一天会有人将这个理论上的安全漏洞开发成一个实际的漏洞。您不会忽略明显的入口点它是无害的，因为你现在想不出一个具体的漏洞。“包括意外内容。”你能说出一些例子和清晰度。“包括意外内容。”你能说出一些例子和清晰度吗。