1
我正在寫一個允許用戶輸入CSS規則的rails應用程序,並且我想限制腳本執行。是否禁止'綁定'(對於-moz綁定)和'行爲'就夠了?它將用保存之前調用的一個簡單的正則表達式來實現。在CSS中限制腳本執行
是否有其他方法將腳本包含到CSS樣式表中?
我正在寫一個允許用戶輸入CSS規則的rails應用程序,並且我想限制腳本執行。是否禁止'綁定'(對於-moz綁定)和'行爲'就夠了?它將用保存之前調用的一個簡單的正則表達式來實現。在CSS中限制腳本執行
是否有其他方法將腳本包含到CSS樣式表中?
一次又一次證明黑名單不起作用。保留可安全允許的CSS白名單。
ha.ckers.org不見了。此外,通常處理腳本標記注入,而不是XSS-in-CSS。 – 2010-12-18 17:45:36
@fahadsadah我想我應該在添加它之前檢查我的書籤。我曾經去過我想要鏈接到當天早些時候的那一頁。 – zzzzBov 2010-12-18 20:18:41