Knockout.js css类绑定安全吗？_Knockout.js_Xss

Knockout.js css类绑定安全吗？

knockout.js

Knockout.js css类绑定安全吗？,knockout.js,xss,Knockout.js,Xss,我有一个客户端网站使用iframe嵌入的小部件。我希望客户端能够指定css类，如下所示，其中通过url提供widgetStyle，类似我的问题是：这安全吗？击倒是否保证能够正确地逃脱它以避免XSS之类的攻击？在所有浏览器中都安全吗？是的，安全。原因是CSS分配不是通过将HTML修改为字符串来完成的，而是通过修改HTMLDOM属性来完成的。因此，knockout通过code节点进行类赋值。className=newClass。因此，您可以在newClass中放入任何需要的内容，而无需任何额外

我有一个客户端网站使用iframe嵌入的小部件。我希望客户端能够指定css类，如下所示，其中通过url提供widgetStyle，类似

我的问题是：这安全吗？击倒是否保证能够正确地逃脱它以避免XSS之类的攻击？在所有浏览器中都安全吗？

是的，安全。原因是CSS分配不是通过将HTML修改为字符串来完成的，而是通过修改HTMLDOM属性来完成的。因此，knockout通过code

节点进行类赋值。className=newClass

。因此，您可以在

newClass

中放入任何需要的内容，而无需任何额外的转义

还有点离题。如果您使用

css

knockout绑定，您可以使代码更干净：

<body data-bind="attr: { 'class': widgetStyle }">
  <!-- Content -->
</body>