Tenemos algunos códigos que eliminan atributos y etiquetas "peligrosos" de HTML. Me di cuenta de que style
está entre la lista de atributos "peligrosos". ¿Cuál podría ser el riesgo de ese atributo?estilo considerado dañino?
5
A
Respuesta
1
Es posible hacer cosas que son invisibles o de lo contrario muy engañosas usando hojas de estilo. Por ejemplo, podría colocar un enlace de ancla gigante e invisible sobre toda la página para que cuando el usuario haga clic en algo, se lo lleve a una página idéntica en un servidor en Rusia.
2
En IE puede incluir @behaviors
que puede cargar pequeños Javascripts.
Con CSS3 también puede insertar pedacitos de texto, lo que podría ser peligroso según su sitio web.
2
Aquí está an example of a bug in MediaWiki que crea una vulnerabilidad basada en los atributos de estilo en línea.
Cuestiones relacionadas
- 1. org.hibernate.Session.clear() considerado Dañino?
- 2. ¿Romper un bucle "for" usando "break" considerado dañino?
- 3. Es un "if (...) return ...;" sin "otro" considerado buen estilo?
- 4. ¿Se considera `qrefresh` dañino?
- 5. ¿Es url.openStream dañino?
- 6. Eclipse/Java: ¿es dañino importar java. (Namespace). *?
- 7. es un texto de sangría negativo considerado encubrimiento?
- 8. "si" se considera dañino en archivos ASP.NET MVC View (.aspx)?
- 9. Cómo evitar que los complementos ejecuten código dañino
- 10. (¿por qué) se considera dañino el selector de estrella CSS?
- 11. ¿Por qué javascript: void (0) se considera dañino?
- 12. ¿Por qué Yahoo Indexing Bot es considerado como "malvado"?
- 13. espacios en blanco en varchar necesita ser considerado en comparación
- 14. ¿Alguien ha usado (o considerado usar) Sql Server Compact Edition?
- 15. ¿Salida de HTML con eco considerado mala práctica en PHP?
- 16. ¿Los comentarios de C++ se consideran estilo incorrecto en C?
- 17. heredar el estilo del estilo predeterminado
- 18. UINavigationController Estilo
- 19. ¿El tipo es un tipo de puntero considerado una mala práctica?
- 20. ¿Se ha establecido (o se ha considerado) algo como configuración de "fusión" o "lote" en Firebase?
- 21. ¿Existe un compilador o IDE para C en Windows considerado como un estándar de la industria?
- 22. ¿Puede Python establecer la ausencia de orden ser considerado orden aleatorio?
- 23. ¿Por qué BitSet requiere un molde explícito para ser considerado como una instancia de Set [Int]?
- 24. ¿Cuál es considerado actualmente el "mejor" algoritmo para la coincidencia de puntos 2D?
- 25. iOS: ¿es un hash MD5 considerado "cifrado" cuando se envía a la tienda de aplicaciones?
- 26. ¿Validar campos tanto en el constructor como en el setter es considerado un código redundante malo?
- 27. Heredar de otro estilo en un otro estilo
- 28. convirtiendo cadena de estilo c a cadena de estilo C++
- 29. Cambiar estilo UiBinder a otro estilo UiBinder Programativamente
- 30. Cambiando los comentarios del estilo C++ al estilo C
¿Cuál es la base del código que realiza la eliminación? ¿Fue desarrollado en casa o por un comité de estándares (por ejemplo)? – wallyk