Php 如果我们必须使用未知用户css文件，应该注意什么

我想让用户上传一个css文件，并根据自己的配置控制网站的配色方案和其他内容

所以在构建它之前，我想知道我应该注意哪些事情？

安全性：所谓的“允许CSS中的JavaScript代码”。尽管它们现在已被弃用，但它们仍然可以在IE5-7和IE的兼容模式下工作

---

我建议从样式表中去掉任何

expression（）

规则。它没有真正的用途，在普通浏览器中不起作用，在IE中它将可执行代码引入CSS。

CSS注入几乎和脚本注入一样好。IE6-7中有

expression（）

（以及以后的兼容性视图中），IE中有

行为：

（HTC），Firefox中有

-moz绑定：

，Firefox中有

内容：

来注入文本，偶尔，大多数在不阻止文本的旧浏览器中，还有

url（javascript:…）

。即使没有这些，你也有相当多的风险仅仅来自于视觉用户界面欺骗

---

只要用户样式表仅限于创建它的用户，用户就只能妥协自己。当用户开始共享样式表时，问题就来了。您可能会禁止用户选择与其他用户相同的外部样式表地址，以阻止这种情况。

一旦上载文件，您打算如何处理该文件？以网格样式显示它？如果CSS只供设置它的用户使用，那么没有问题。如果它们是共享的。。。请参阅上面的链接。