मेरे पास एक वेब एप्लिकेशन है जहां मैं अंतिम उपयोगकर्ताओं को अपनी स्वयं की सीएसएस फ़ाइल अपलोड करके वेब साइट के रूप को अनुकूलित करने की अनुमति देना चाहता हूं।क्या उपयोगकर्ताओं को सीएसएस संपादित करने की अनुमति देना सुरक्षित है?
क्या इसके साथ कोई सुरक्षा समस्या है? मैं कुछ भी स्पष्ट नहीं देख सकता लेकिन सोचा कि अगर मैं कुछ भी याद करता हूं तो मैं पूछूंगा।
जावास्क्रिप्ट को सीएसएस में निष्पादित किया जा सकता है, आपको यह सुनिश्चित करना होगा कि आप कुछ फ़िल्टरिंग का उपयोग कर रहे हैं।
मैंने उन घटनाओं को भी देखा है जहां किसी ने माइक्रोसॉफ्ट नियंत्रित साइट पर एक पारदर्शी पिक्सेल के साथ पूरे पृष्ठ को कवर किया है, जो एक दुर्भावनापूर्ण साइट से जुड़ा हुआ है। कहीं भी क्लिक करने से हमलावर साइट को प्रकट होने के लिए प्रेरित किया गया।
यह तब भी सुरक्षित हो सकता है जब उपयोगकर्ता केवल अपना स्वयं का सीएसएस देखता है, और उनके पास किसी और को देखने का कोई तरीका नहीं होगा। अन्यथा श्वेतसूची या मार्कडाउन का कुछ प्रकार काम करेगा।
यदि ग्राहक अपने कस्टम सीएसएस वाले उपयोगकर्ता को उस सीमा तक स्क्रीन स्क्रू करता है तो उसे ग्राहक समर्थन ओवरहेड मिल सकता है कि उसे इसे रीसेट करने के लिए नियंत्रण नहीं मिलेगा। जिस स्थिति में आपको व्यवस्थापक के रूप में इसे मैन्युअल रूप से करने की आवश्यकता होगी।
उस मामले के लिए एक संभावित समाधान। शैली को रीसेट करने के लिए एक विशिष्ट यूआरएल की व्यवस्था करें। उपयोगकर्ता जब वह बारे में इस यूआरएल को याद है और बस का पालन करता है, तो चीजें नियंत्रण से बाहर चले गए हैं शैली को संशोधित करने के लिए है
http://mysite.com/users/234234/reset
और सलाह: की तरह। हिट होने पर, कस्टम शैलियों को निष्क्रिय कर दिया जाएगा।
दरअसल, जैसा कि अन्य उत्तरों ने नोट किया है, आप सीएसएस में जावास्क्रिप्ट निष्पादित कर सकते हैं। http://www.slideshare.net/simon/web-security-horror-stories- प्रतिनिधित्व – jammycakes
आपके सर्वर और कॉन्फ़िगरेशन के आधार पर, एक सीएसएस फ़ाइल से सर्वर-साइड कोड चलाने के लिए संभव हो सकता है (हालांकि, यह सर्वर पर मुझे डिफ़ॉल्ट व्यवहार नहीं है)।
संक्षिप्त उत्तर: कोई। मन में आने वाली पहली बुरी चीजें एमएसआईई अभिव्यक्तियां हैं।
मैं ऐसा नहीं करूँगा क्योंकि सीएसएस उदाहरण में an image that could exploit some OS vulnerability दिखा सकता है।
सम्मान।
स्क्रिप्टिंग के मुकाबले बहुत कम समस्या है। – Sam152
यदि ये सीएसएस फ़ाइलें सभी साइट उपयोगकर्ताओं के लिए उपलब्ध हैं, न केवल उस व्यक्ति को अपलोड किया गया है, तो संभवतः XSRF वेक्टर संभव है - आप सीएसएस में ऑफ़साइट संसाधनों के लिंक शामिल कर सकते हैं जो उपयोगकर्ता अनुरोध के लिए "अवांछनीय" प्रभाव प्रदर्शन करते हैं उन्हें।
आप छवियों को एम्बेड करके एक्सएसआरएफ को अधिक आसान बना सकते हैं जो वेबसाइटों के लिए अनुमति देने के लिए कहीं अधिक आम है। – Sam152
संक्षिप्त उत्तर: नहीं यह नहीं है। मोज़िला में आईई और एक्सबीएल में एचटीसी दोनों संभावित हमले वैक्टर हैं। इस प्रकृति का एक हैक कुछ समय पहले 30,000 माईस्पेस पासवर्ड चुरा लेने के लिए इस्तेमाल किया गया था।
स्रोत: सिमोन विललिसन, Web Security Horror Stories
ठीक है, वे अपने स्वयं के सीएसएस संपादन कर रहे हैं अगर वे केवल एक XSS हमले के लिए खुद पर नहीं भी चिंताजनक :-) –
कि साइट संरचना पर निर्भर करता है कर सकता है। – n1313
सीएसएस में जावास्क्रिप्ट को कैसे निष्पादित किया जा सकता है? –