前端安全审计时如何防止CSS注入风险?
最近在做项目的安全审计,发现有个用户自定义主题的功能,允许传入CSS字符串动态应用样式。我担心这里会有CSS注入漏洞,比如用户输入恶意代码破坏页面或窃取数据。虽然我用了DOMPurify处理HTML,但对CSS这块不太确定该怎么防护。
目前我是直接把用户输入的CSS插到<style>标签里,像这样:
.user-theme {
background: url('javascript:alert(1)');
color: red;
}
测试时发现某些浏览器居然会执行javascript:伪协议!有没有安全的方式来解析或过滤用户提交的CSS?或者应该完全禁止这种动态样式功能?
- 2
回答
17浏览
前端安全审计中如何评估CSS注入风险?
最近在做项目安全自查,发现用户能自定义主题色,但担心CSS注入问题。我用了类似下面的写法,这样安全吗? .user-theme { --primary-color: ${userInput}; bac...
- 1
回答
23浏览
前端安全审计时怎么判断CSS有没有安全风险?
最近在做项目的安全审计,听说CSS也可能有安全问题,比如XSS之类的。但我一直以为CSS是静态样式,不会执行代码,所以有点懵。 我试过用一些在线工具扫描,但没报错。不过我们有个动态加载用户自定义主题的...
- 1
回答
16浏览
前端渗透测试中如何防范CSS注入攻击?
我在做安全测试时,发现用户输入的样式能直接渲染到页面上,担心有CSS注入风险。比如下面这段动态生成的CSS: .user-style { background: url(' + userInput +...
- 2
回答
24浏览
白盒测试时发现CSS注入漏洞,如何验证并修复?
在审计前端代码时发现一个动态插入用户CSS样式的功能,像这样: .example { content: attr(data-style); /* 用户提供的样式会直接填充到data-style属性 *...
- 1
回答
15浏览
前端监控中如何准确采集 CSS 加载失败的数据?
我在做前端异常监控,想采集 CSS 文件加载失败的情况,但发现 onerror 事件在 link 标签上不生效。试过动态创建 link 并监听 error,但有些浏览器根本不触发,导致监控漏报。 比如...
- 1
回答
10浏览
前端安全审计时如何防止XSS攻击?
最近在做项目的安全审计,发现用户输入的内容直接渲染到页面上,担心有XSS风险。比如下面这段代码,把用户昵称直接插进HTML里,会不会被注入脚本? <div class="user-info"&g...
- 1
回答
12浏览
Vite 插件里怎么处理 CSS 中的变量注入?
我在写一个 Vite 插件,想在构建时动态往 CSS 里注入一些变量,比如主题色。但试了几次发现 transform 阶段拿到的 CSS 内容没法正确替换,或者替换后样式就乱了。 我用的是 trans...
- 2
回答
48浏览
微前端子应用CSS样式污染父应用怎么办?
我在用single-spa搭建微前端时,发现子应用的CSS会污染父应用页面。比如子应用用了.header { background: red },结果父应用的header也变红了。尝试过加命名空间和C...
- 2
回答
52浏览
用CSS隐藏非管理员内容被用户绕过,该怎么安全控制数据权限?
我现在在做角色权限控制,普通用户只能看自己的数据,管理员能看所有。前端用了CSS根据角色动态添加class来隐藏非管理员的按钮,比如: .user-only { display: none; } .a...
- 2
回答
59浏览
微前端应用隔离时样式冲突怎么解决?CSS全局覆盖子应用组件怎么办?
我在用qianky进行微前端开发时遇到样式污染问题,主应用的CSS全局样式把子应用的按钮组件覆盖了。我给子应用加了CSS命名空间: /* 主应用CSS */ .button { background:...
你发现的确实是个安全问题。CSS里的
url()在某些浏览器(尤其是旧版IE)和特定场景下确实能执行js代码,现代浏览器虽然默认禁止了,但风险依然存在——比如通过expression()(IE旧版)或者利用CSS属性窃取数据。最稳妥的方案是别让用户直接写CSS字符串,改用白名单机制。我之前项目里是这么干的:
把用户可自定义的样式拆成具体的配置项,比如允许用户选背景色、字体大小这些,而不是开放完整的CSS字符串。然后在代码里把这些值赋给CSS变量:
这样用户只能选预设的颜色值,你可以在后端做个白名单列表,永远不让用户直接碰CSS语法。
如果你实在需要支持用户自定义样式,可以用Google的
css-sanitizer库来过滤,它会移除危险属性和函数。不过这库挺重的,而且保不齐有绕过,我个人不推荐。还有一个取巧的办法是用iframe的sandbox属性,把用户样式限制在隔离环境里,但这样功能就受限了。
我的建议是:除非产品必须,否则砍掉这个"用户自定义CSS"的功能,改成"用户自定义主题"——预设几套主题让用户选,省心又安全。动态CSS这玩意儿,运维的时候就知道有多头疼了。