[討論] 如何讓使用者自訂css、js又兼顧安全性?
看到有些社群網站可以讓使用者用自己的樣板
可以直接寫css進去
例如plurk
但是這其實有風險
因為css可以夾js進去
會被xss攻擊
甚至,根本就打算讓使用者可以在自己的頁面上寫js
如果想實現這個功能的話,那要如何兼顧安全性呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.59.16.65
※ 編輯: LaPass 來自: 61.59.16.65 (11/19 12:57)
推
11/19 13:04, , 1F
11/19 13:04, 1F
span.blue{
float:left;color:#666666;width:320px;background:#fffde6;
height:22px; line-height:22px;padding:2px;margin-bottom:2px;
border:1px solid #f4cda3;
ttt:expression(onclick=function(){this.style.display='none'})
}
這例子是網路上隨便抓來的,其實我也沒有把JS寫在CSS中過
只看別人在聚會上展示過類似的範例
※ 編輯: LaPass 來自: 61.59.16.65 (11/19 13:13)
→
11/19 13:28, , 2F
11/19 13:28, 2F
推
11/19 13:42, , 3F
11/19 13:42, 3F
趁空檔試了一下,是ok的
我的範例是這樣:
index.html
<html>
<link rel="stylesheet" type="text/css" href="jscss.css">
<body>
<div class='nojs'>I am A Div and NO js</div>
<div class='hasjs'>I am A Div and HAS js</div>
</body>
</html>
jscss.css
.hasjs
{
color:#FF0000;
ttt:expression(onclick=function(){alert('Hi Hi I am javascript!');})
}
→
11/19 14:07, , 4F
11/19 14:07, 4F
→
11/19 14:09, , 5F
11/19 14:09, 5F
※ 編輯: LaPass 來自: 61.59.16.65 (11/19 15:20)
→
11/19 19:55, , 6F
11/19 19:55, 6F
→
11/19 20:20, , 7F
11/19 20:20, 7F
→
11/19 23:50, , 8F
11/19 23:50, 8F
Web_Design 近期熱門文章
PTT數位生活區 即時熱門文章
