假設(shè)我有一個(gè)字串鍵和字串值的對(duì)象��,我想將它們作為 CSS 自訂屬性寫入伺服器產(chǎn)生的一些 HTML 中�����。我怎樣才能安全地做到這一點(diǎn)�����?
我所說的安全是指
- 如果可能的話��,自訂屬性宣告不應(yīng)導(dǎo)致 CSS 語(yǔ)法錯(cuò)誤�,從而阻止瀏覽器正確解析其他樣式宣告或 HTML 文件的部分���。如果由於某種原因這是不可能的��,則應(yīng)省略鍵值對(duì)����。
- 更重要的是����,這樣應(yīng)該不可能進(jìn)行跨站點(diǎn)腳本編寫��。
為了簡(jiǎn)單起見,我將限制鍵只允許 [a-zA-Z0-9_-] 類別中的字元��。
透過閱讀 CSS 規(guī)範(fàn)和一些個(gè)人測(cè)試�����,我認(rèn)為透過以下步驟來取得值可以取得很大的進(jìn)展:
- 查找字串
- 確保每個(gè)引號(hào)後面都有另一個(gè)相同類型(“或')的(未轉(zhuǎn)義的)引號(hào)�。如果不是這種情況,請(qǐng)丟棄此鍵/值對(duì)��。
- 確保字串外部的每個(gè)左大括號(hào)
{([字串外部的 都有一個(gè)符合的右大括號(hào)��。如果沒有��,則丟棄此鍵值對(duì)��。
- 使用
\3C 轉(zhuǎn)義 << 的所有實(shí)例�,以及所有使用 3E 轉(zhuǎn)義 > 的所有實(shí)例。
- 使用
\3B 對(duì) ; 的所有實(shí)例進(jìn)行轉(zhuǎn)義����。
我根據(jù)這個(gè) CSS 語(yǔ)法規(guī)格想出了上述步驟
對(duì)於上下文,這些屬性可以由我們?cè)谄渌胤讲迦氲挠脩糇杂啒邮绞褂?,但同一物件也用作模板中的模板?shù)據(jù),因此它可能包含旨在作為內(nèi)容的字串和預(yù)期的字串的混合作為CSS 變數(shù)�����。我覺得上面的演算法取得了很好的平衡�,既非常簡(jiǎn)單,又不會(huì)冒丟棄太多可能在CSS 中有用的鍵值對(duì)的風(fēng)險(xiǎn)(即使考慮到未來對(duì)CSS 的添加��,但我想確保我沒有遺漏什麼�。
這裡有一些 JS 程式碼,展示了我想要實(shí)現(xiàn)的目標(biāo)���。 obj 是有問題的對(duì)象�,而 preprocessPairs 是一個(gè)函數(shù)��,它接受該對(duì)象並對(duì)其進(jìn)行預(yù)處理���,刪除/重新格式化值�,如上述步驟所述��。
function generateThemePropertiesTag(obj) {
obj = preprocessPairs(obj);
return `<style>
:root {
${Object.entries(obj).map(([key, value]) => {
return `--theme-${key}: ${value};`
}).join("\n")}
}
</style>`
}
所以當(dāng)給定一個(gè)這樣的物件時(shí)
{
"color": "#D3A",
"title": "The quick brown fox"
}
我希望 CSS 看起來像這樣:
:root {
--theme-color: #D3A;
--theme-title: The quick brown fox;
}
雖然 --theme-title 在 CSS 中使用時(shí)是一個(gè)非常無用的自訂變量�����,但它實(shí)際上並沒有破壞樣式表���,因?yàn)?CSS 會(huì)忽略它不理解的屬性�。
