[PHP][CSS]css tworzony przez usera - niebezpieczeństwa?, niebezpieczeństwa związane z user-submitted css Opcje

[konrados]

Witam,

Na jednym z moich serwisów zamierzam dać użytkownikom możliwość tworzenia własnych plików css - które będą używane przez pewne podstrony.

No i zastanawiam się jakie mogą się z tym wiązać niebezpieczeństwa. Zamierzam usunąć wszelkie < oraz >, ale czy to wystarczy? Szukałem o "css injection" ale średnio rozumiem... (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[bim2]

Mogą conajwyżej zepsuć Ci stronkę. Zobacz gtathegame.net , a dokładniej blogi zakładane przez userów. Tam też można css wstawiać. :]

[konrados]

Dzięki. Co najwyżej zepsują swoją własną stronkę, bo każdy user ma w tym serwisie stronę i tylko dla niej może edytować css.

Ale... jesteś pewien, że nie ma jakichś hakerskich tricków? Niech sobie stronkę swoją zepsują, ja się martwię o możliwość włamania/wydobycia jakiś informacji. Gdzieś kiedyś czytałem łatwo przystępny artykuł o tych "css injections" ale już nie mogę go znaleźć.

Ten post edytował konrados 15.11.2008, 14:47:59

[MWL]

NIE MA (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
no chyba że ten plik na serwerze (tj. css) bedzie mógł działać jako skrypt php. Choc to bardzo mało prawdopodobne
chodzi mi o to że na serwerze nie może być to wpisane w mime type

Ten post edytował MWL 15.11.2008, 14:48:43

[konrados]

OK, czuję się pocieszony:) Dzięki Wam obu.
p.s. nie, plik nie jest parsowany jako php.

UPDATE: a nawet jakby był parsowany jako .php, to jeśli usunę wszelkie < oraz > to chyba jest bezpiecznie ?

Ten post edytował konrados 15.11.2008, 14:50:09

[bim2]

Jest. (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[konrados]

No to idę szaleć, dzięki.