使用第三方 CSS 是不是危险？

Posted 2023-03-28

【中文标题】使用第三方 CSS 是不是危险？

【英文标题】：Is it dangerous to use third party CSS?使用第三方 CSS 是否危险？

【发布时间】：2019-11-28 14:28:10

【问题描述】：

我找到了一些 MIT 许可的 CSS，我想将其用于我的 Web 应用程序。我一直在阅读可以将恶意 css 注入网站（来源：Can Malicious Code Be Executed From A CSS File?）以发起跨站点脚本类型的攻击。

这是我的问题： 我想知道恶意 css 是否有可能用恶意软件感染我的网络服务器，如果是这样，我应该注意的那种 css 中的恶意迹象是什么？

【问题讨论】：

简短回答：是的。

它不会感染你的网络服务器，除非你从你的机器内部对它自己发起请求。恶意 CSS 可能会感染访问者。

我在网上找到了一个好看的css加载器，我想用。 --> 研究代码，理解并复现--> 0风险

@m02ph3u5 这就是我的想法。您能否提供一个示例，说明我将在 Web 服务器中向我的网站发出请求？

@girlwhocodes nope :)

【参考方案1】：

简短回答：是的。

长答案：您应该始终阅读并拥有您正在复制粘贴的代码。修复“臭”的代码也是一个很好的干净代码实践。您应该检查任何链接和可疑的 CSS。不要在自己测试之前发布代码； IE。像网站的用户/访问者一样访问页面。这样您就可以确保避免任何恶意 css 代码。

【讨论】：

从您的回答看来，恶意代码可能会破坏我的网页。但它会损害网络服务器本身吗？以及如何？

我之前从未尝试过通过编写 css 来破坏网络服务器 :) 所以即使有一个例子我也不能给你一个例子。唯一的问题是 css 不是很复杂，如果您必须复制粘贴很长的代码（如 css 库），请从您信任的来源进行。您共享的链接上有几个示例。它们很好，而且很明显。

这对访问者来说是个问题。不是服务器，因为图像是下载到客户端浏览器而不是服务器中。

虽然浏览器下载的文件的限制和权限可能不会让python文件执行。

我能想象到的最极端的方法是找到一种在图像中嵌入恶意脚本并通过显示图像来触发浏览器运行该脚本的方法。这当然需要了解浏览器的巨大安全漏洞以及我只能幻想的整个过程的专业知识:)