前端代码审查时如何发现CSS注入风险?
最近在做安全Code Review,看到一段动态拼接CSS的逻辑,担心有注入漏洞。比如用户输入直接插进style标签里,会不会被利用?
我查了资料说CSS本身不像JS那样能执行脚本,但某些属性比如url()或@import可能引发问题。下面是我们项目里的一段简化代码:
.user-theme {
background: url('https://example.com/themes/${userInput}.png');
color: ${userColor};
}
这种写法真的不安全吗?有没有办法在Review时快速识别这类风险?
- 2
回答
32浏览
前端安全审计时如何防止CSS注入风险?
最近在做项目的安全审计,发现有个用户自定义主题的功能,允许传入CSS字符串动态应用样式。我担心这里会有CSS注入漏洞,比如用户输入恶意代码破坏页面或窃取数据。虽然我用了DOMPurify处理HTML,...
- 2
回答
88浏览
前端安全审计中如何评估CSS注入风险?
最近在做项目安全自查,发现用户能自定义主题色,但担心CSS注入问题。我用了类似下面的写法,这样安全吗? .user-theme { --primary-color: ${userInput}; bac...
- 1
回答
54浏览
前端渗透测试中如何防范CSS注入攻击?
我在做安全测试时,发现用户输入的样式能直接渲染到页面上,担心有CSS注入风险。比如下面这段动态生成的CSS: .user-style { background: url(' + userInput +...
- 2
回答
58浏览
白盒测试时发现CSS注入漏洞,如何验证并修复?
在审计前端代码时发现一个动态插入用户CSS样式的功能,像这样: .example { content: attr(data-style); /* 用户提供的样式会直接填充到data-style属性 *...
- 2
回答
50浏览
前端代码审查时如何判断CSS是否存在安全风险?
最近在做Web安全Code Review,看到团队有人写了下面这段CSS,我不确定会不会有安全隐患。CSS一般不执行逻辑,但听说某些写法可能被用来做信息探测或者配合XSS攻击? .user-card ...
- 1
回答
36浏览
前端开发中如何通过安全培训避免CSS注入风险?
最近公司开始推行安全开发生命周期(SDL),要求我们前端也参加安全培训。但我有点困惑:CSS 也会有安全问题吗?我之前写过类似下面的动态样式,会不会有风险? .user-theme { backgro...
- 1
回答
61浏览
前端项目里怎么用威胁情报检测恶意CSS注入?
最近在做安全审计,听说要关注威胁情报里的CSS注入风险,但我搞不清具体该查什么。我们项目用了动态加载用户自定义样式的功能,会不会有隐患? 比如下面这段用户可能提交的CSS: .user-content...
- 2
回答
32浏览
前端监控中如何准确采集 CSS 加载失败的数据?
我在做前端异常监控,想采集 CSS 文件加载失败的情况,但发现 onerror 事件在 link 标签上不生效。试过动态创建 link 并监听 error,但有些浏览器根本不触发,导致监控漏报。 比如...
- 1
回答
31浏览
Vite 插件里怎么处理 CSS 中的变量注入?
我在写一个 Vite 插件,想在构建时动态往 CSS 里注入一些变量,比如主题色。但试了几次发现 transform 阶段拿到的 CSS 内容没法正确替换,或者替换后样式就乱了。 我用的是 trans...
- 2
回答
72浏览
前端安全审计时怎么判断CSS有没有安全风险?
最近在做项目的安全审计,听说CSS也可能有安全问题,比如XSS之类的。但我一直以为CSS是静态样式,不会执行代码,所以有点懵。 我试过用一些在线工具扫描,但没报错。不过我们有个动态加载用户自定义主题的...
url()或其他类似属性。虽然CSS不像JavaScript那样可以执行任意代码,但攻击者可以通过构造恶意URL或者CSS规则来盗取数据、伪造页面样式等。在你提供的例子中,
userInput和userColor都是从用户输入直接拼接进CSS的,这就有潜在的风险。更好的写法是避免直接将用户输入拼接到CSS中,可以考虑对用户输入进行严格的验证和过滤,或者使用CSS变量和预定义的主题来替代动态拼接。比如可以这样改写:
这种方式确保了只有预定义的安全值才会被应用到样式中,大大减少了CSS注入的风险。在代码审查时,可以重点检查是否有直接将用户输入拼接到CSS的情况,并建议使用上述的方法来处理。
先说风险点在哪里。userInput 如果没做过滤,攻击者可以输入类似
test.png') attr(data-xss)='或者直接闭合属性搞事情。更典型的是如果 userInput 能控制整个 url() 的内容,那就可以构造javascript:alert(1)或者data:text/css,...这种 payload。color 属性相对安全一些,因为 CSS 解析器对颜色值的格式有严格限制,但你要是动态拼接的是完整的
property: value那就另说了。快速识别这类风险的方法:
1. 看用户输入是否直接进了 CSS 属性值
凡是用字符串拼接把用户输入塞进 url()、content、behavior、expression() 这些地方的,全是风险点。
2. 检查过滤逻辑
如果后端有做白名单校验(比如只允许字母数字下划线),风险就低很多。没有白名单的一律按有问题处理。
3. 重点关注这些属性
url()、@import、expression()(IE only,早该淘汰)、behavior(IE)、-moz-binding、content 里插东西。
修复方案其实很简单——别动态拼接。用 CSS 变量 + class 切换的方式:
后端只输出白名单内的预设值到 data 属性或 class 名,然后 CSS 根据 class 选对应的变量。根本不让用户输入直接进 CSS。
如果你必须动态设置颜色,用 CSS 的 color 属性时加个前缀强制它解析成颜色值:
或者直接用 CSS filter: hue-rotate 这种基于预设值的玩法。
总结:Review 的时候看到 userInput + CSS 字符串拼接,先打回重写,让前端改用变量/预设值方案。