¿Qué CSS se considera seguro o inseguro dentro de un sitio web de varios inquilinos?

2

Estoy leyendo la pautas para múltiples inquilinos de Azure y ahí está dice

  

Las hojas de estilo en cascada son comportamientos   una característica que el sitio de encuestas será   no es compatible.

¿Qué funciones CSS debo admitir en un sitio web de varios inquilinos?

    
pregunta random65537 22.02.2011 - 02:36
fuente

2 respuestas

5

Hay dos problemas.

  1. CSS puede contener Javascript. Los navegadores más antiguos ejecutarán el Javascript. El Javascript recibe todos los privilegios otorgados al sitio web, por lo que esto permitiría a cada inquilino obtener privilegios que no debería recibir (por ejemplo, privilegios para entrometerse con otros inquilinos, o para entrometerse con el sitio que lo rodea). Por ejemplo, el gusano Samy y una vulnerabilidad reciente de Facebook , ambas involucradas CSS maliciosas.

    Los navegadores más nuevos no ejecutarán el Javascript, pero todavía hay muchos navegadores más antiguos. Las formas de incluir Javascript u otro contenido activo en CSS incluyen expresiones como url(javascript:alert()) , url("http://evil.com/evil.js") , expression(alert()) , -moz-binding: , behavior: y posiblemente otros.

  2. CSS de un inquilino puede intentar establecer estilos en el HTML para otros inquilinos o para el sitio que lo rodea. Esto podría causar impactos negativos.

En principio, podría escribir un desinfectante de CSS para defenderse de estos ataques y aún así permitir que los inquilinos especifiquen su propio CSS. Sin embargo, eso es bastante difícil de hacer bien y sería fácil introducir un error, por lo que no es algo que se pueda hacer a la ligera.

    
respondido por el D.W. 23.02.2011 - 10:09
fuente
0

El artículo es vago al respecto, pero me atrevería a suponer que se referían a bloquear contenido como JavaScript.

    
respondido por el Steve 22.02.2011 - 04:38
fuente

Lea otras preguntas en las etiquetas