在社交网站上,允许用户向个人页面添加自己的CSS规则是否不安全?
这并不安全。有多种方法可以将JavaScript嵌入到CSS中,以使其在至少一些浏览器中被执行。请搜索“XSS CSS”并查看前几个结果。
如果您不想进行彻底的CSS清洗,并且不想在CSS清洗不可避免地被绕过并导致用户cookie泄漏时解决问题,请不要这样做。
允许用户输入自由格式的CSS文本(或上传文件)可能会导致安全问题。最好提供一个控制面板,让他们可以自定义外观和感觉(当然有限制,可能无法构建一个让他们可以自定义所有内容的表单),并通过CSS实现自定义,同时将他们的设置存储为结构化数据库表中的值。