我正在寫一個允許用戶輸入CSS規則的rails應用程序，並且我想限制腳本執行。是否禁止'綁定'（對於-moz綁定）和'行爲'就夠了？它將用保存之前調用的一個簡單的正則表達式來實現。在CSS中限制腳本執行

是否有其他方法將腳本包含到CSS樣式表中？

2010-12-18 aperture

一次又一次證明黑名單不起作用。保留可安全允許的CSS白名單。

2010-12-18 09:16:21

XSS有許多方法。這裏有一個cheat sheet。

這是一個完整的清單嗎？

從未

足夠的創造性的攻擊者會發現你的微不足道的解析器獲得的一種方式。

2010-12-18 09:12:19 zzzzBov

ha.ckers.org不見了。此外，通常處理腳本標記注入，而不是XSS-in-CSS。 – 2010-12-18 17:45:36

@fahadsadah我想我應該在添加它之前檢查我的書籤。我曾經去過我想要鏈接到當天早些時候的那一頁。 – zzzzBov 2010-12-18 20:18:41

在CSS中限制腳本執行