Html 具有样式属性的安全风险(xss)
在我们的应用程序中,我们允许显示来自外部源的html,因此在显示之前,我们会对其进行清理。源有点可信,但我们想添加另一层Html 具有样式属性的安全风险(xss),html,security,xss,Html,Security,Xss,在我们的应用程序中,我们允许显示来自外部源的html,因此在显示之前,我们会对其进行清理。源有点可信,但我们想添加另一层 我们删除了样式标记,但希望保留样式属性。我知道脚本可以放在该属性中,我想知道这些脚本在多大程度上可以用于XSS。换句话说,允许使用样式标签有哪些具体风险?HTML电子邮件也有许多相同的风险。如果您在基于web的阅读器(如Gmail)中显示HTML电子邮件,您需要确保它不能脱离其容器并试图弄乱邮件界面本身。因此,在向用户发送电子邮件之前,许多样式都会被删除。“活动监视器”在不同
我们删除了样式标记,但希望保留样式属性。我知道脚本可以放在该属性中,我想知道这些脚本在多大程度上可以用于XSS。换句话说,允许使用样式标签有哪些具体风险?HTML电子邮件也有许多相同的风险。如果您在基于web的阅读器(如Gmail)中显示HTML电子邮件,您需要确保它不能脱离其容器并试图弄乱邮件界面本身。因此,在向用户发送电子邮件之前,许多样式都会被删除。“活动监视器”在不同的邮件客户端中具有相同的名称。这可能是一个很好的起点。HTML电子邮件也有许多相同的风险。如果您在基于web的阅读器(如Gmail)中显示HTML电子邮件,您需要确保它不能脱离其容器并试图弄乱邮件界面本身。因此,在向用户发送电子邮件之前,许多样式都会被删除。“活动监视器”在不同的邮件客户端中具有相同的名称。这可能是一个很好的起点。感谢您的回答,您链接的资源似乎非常有用!然而,我想知道更多关于潜在XSS风险的信息,我已经读到,在某些情况下,XSS可能与样式属性一起存在。我想知道那些箱子是什么……看:谢谢!那正是我要找的!感谢您的回答,您链接的资源似乎非常有用!然而,我想知道更多关于潜在XSS风险的信息,我已经读到,在某些情况下,XSS可能与样式属性一起存在。我想知道那些箱子是什么……看:谢谢!那正是我要找的!