我们有一些代码可以从HTML中删除“危险的”属性和标签。我注意到style
是“危险”属性列表之一。这个属性有什么风险?风格认为有害?
Q
风格认为有害?
5
A
回答
1
使用样式表可以制作不可见或非常具有欺骗性的东西。例如,您可以在整个页面上放置一个巨大的隐形锚点链接,以便当用户点击某些内容时,他会被带到俄罗斯服务器上的相同页面。
2
在IE中,你可以包含@behaviors
在那里可以加载一些Javascripts。
使用CSS3,您还可以插入一些文本,这可能是危险的取决于您的网站。
2
这里是an example of a bug in MediaWiki,它基于内联样式属性创建一个漏洞。
相关问题
- 1. PKG_CHECK_MODULES认为有害?
- 2. NSCopyObject认为有害?
- 3. PHP sprintf认为有害?
- 4. 'make install'被认为是有害的吗?
- 5. 字母O被认为是有害的?
- 6. 语言巫师认为有害吗?
- 7. 默认SVG风格
- 8. (为什么)被认为是有害的CSS星形选择器?
- 9. 为什么多线程环境被认为是有害的?
- 10. 是没有对象被认为是坏风格的Rails窗体?
- 11. 默认显示风格
- 12. 使用“break”打破“for”循环被认为是有害的?
- 13. /正则表达式/(字符串)认为有害?
- 14. 为什么使用TransactionScope的默认构造函数有害?
- 15. MVC格式生成presnetation有害代码
- 16. 风格为Android ProgressDialog
- 17. htaccess否认我的页面风格
- 18. REST风格的webservice + Spring令牌认证
- 19. 两种风格设置默认值
- 20. 使用F的默认编程风格#
- 21. 更改默认python编码风格
- 22. 本地风格的默认WPF样式
- 23. GWT默认风格IE字体大小
- 24. Typescript默认属性值风格指南
- 25. 封装vs结构 - 这被认为是不好的风格?
- 26. 如何默认p元素为 “正常” 的风格在CKEditor的
- 27. 单行块 - 他们认为是不好的风格?
- 28. 实例初始化器是否被认为是坏风格?
- 29. 你认为这种糟糕的编码风格?
- 30. Style Cops默认配置的风格有多常见?
删除代码的基础是什么?它是由内部开发还是由标准委员会开发? – wallyk 2010-08-20 17:36:24