javascript – 加载外部第三方CSS有什么危险吗?

我的目标是允许合作伙伴通过在URL参数中传递给他们的样式表的链接,以自己的外观和风格对自己的着陆页进行风格化.通过 JavaScript加载第三方CSS是否存在安全性或浏览器兼容性问题?

解决方法

在CSS文件中.

表达式(代码),行为:url(),url(javascript:code)和-moz-binding:url()都有潜在的安全问题.

行为不能是跨域,以便消除一些威胁,但一般来说,您需要以某种方式对其进行清理.

如果您允许用户在外部服务器上链接到CSS,则没有全面的验证方式.服务器可以检查服务器上的CSS文件,以确保没有任何恶意软件,但如果用户更改样式表怎么办?您将不得不连续检查样式表.此外,服务器可能会向服务器IP地址提供不同的信息,以尝试绕过验证方法.

诚然,我建议将CSS存储在您自己的服务器上.简单的运行它抛出一个正则表达式解析器,从上面删除可能的恶意代码.

相关文章

事件冒泡和事件捕获 起因:今天在封装一个bind函数的时候,发现el.addEventListener函数支持第三个参数...
js小数运算会出现精度问题 js number类型 JS 数字类型只有number类型,number类型相当于其他强类型语言...
什么是跨域 跨域 : 广义的跨域包含一下内容 : 1.资源跳转(链接跳转,重定向跳转,表单提交) 2.资源...
@ "TOC" 常见对base64的认知(不完全正确) 首先对base64常见的认知,也是须知的必须有...
搞懂:MVVM模式和Vue中的MVVM模式 MVVM MVVM : 的缩写,说都能直接说出来 :模型, :视图, :视图模...
首先我们需要一个html代码的框架如下: 我们的目的是实现ul中的内容进行横向的一点一点滚动。ul中的内容...