اگه کاربر قادر به ارسال فایل css شخصی به سایت باشه ممکنه خطر ساز بشه؟
و استفاده به صورت فایل css منابع پردازشی کمتری هدر میده و یا ذخیره و بازیابی از بانک اطلاعاتی؟
اگه کاربر قادر به ارسال فایل css شخصی به سایت باشه ممکنه خطر ساز بشه؟
و استفاده به صورت فایل css منابع پردازشی کمتری هدر میده و یا ذخیره و بازیابی از بانک اطلاعاتی؟
لطفا یکی کمک کنه
نگاه کنید از نظر من امن نیست و نمیشه اختیارات کامل را به کاربر داد. شما باید بصورت دستی و کاملا مدیریت شده به کاربر اجازه ارسال Css را بدهید.
البته من که از پروژه شما خبری ندارم شاید استفاده از این ویژگی ضرری نداشته باشد ولی ممکن هست از نظر امنیتی مشکل پیدا کند !
مثلا ممکنه کاربرای حرفه ای یه سری کد مخرب تزریق کنند که در سمت سرور اجرا بشه؟
مثل استفاد از کد php در یک تصویر که وب سرور اون رو اجرا میکرد؟
اگه ممکنه سوال دوم پست اول رو هم جواب بدید
بله میشه کاری کرد که با استفاده CSS یک فایل PHP رو در سرور اجرا کرد. مثلا میشه کاری کرد که فایل logout.php اجرا بشه و کاربر از سایت بیاد بیرون که البته فکر می کنم با استفاده از Token قابل حل باشه:
.image {
background-image: url(../logout.php);
}
هم چنین با استفاده از CSS میشه کل محتویات صفحه رو مخفی و یک عبارت دلخواه که توی فایل CSS هست رو به کاربر نشون داد. که البته مشکل امنیتی نیست ولی به هر حال ممکنه مهم باشه.
کاملا واضحه که استفاده از فایل منابع کمتری رو هدر میده.
دوست عزیز اصلا چنین کاری امن نیست و ممکن هست خطر ساز باشد.
مثلا با Expressions در css در internet explorer 5.0 میتونین در فایل های Css از جاوا اسکریپت استفاده کنید.
بهترین کار و بهترین امنیتی که میتونین برای اینکار در نظر بگیرید تنظیماتی را از قبل تعریف کنید و کاربر با توجه به اون تنظیمات و فیلتر های مربوطه اقدام به ساخت فایل CSs کند.
مثلا می گویید فقط استفاده از color,font,size برای استفاده از Css با مقادیر فلان قابل استفاده است و کد های دیگر مجاز نیست این باعث می شود تا از صحت کد ها اطمینان پیدا کنیم.
بر فرض مثال ممکن هست در آینده شما خبر دارد نشوید و یک دستور css جدید وارد شود که مقدار کوکی را دریافت می کند و یا اطلاعاتی را به سرور بفرستد و ...
سوال دوم را واضح تر بیان کنید.
واقعا پاسخ شما منطقی و قانع کننده است
کلا اگه ایشون بتونن از دونوع سرور استفاده کنند چه طور؟ این منطقی هست؟
مرسی گزینه خوبی هست چون میخوام فقط فایل سی اس اس کاربرام رو میزبانی کنم
دوستان لطفا نظراتتون رو بگید
نه مشکلی ندارد کلا css هم جزو موارد کلاینت ساید است و میزبانی و شخصی سازی ان توسط کاربر مشکلی برای امنیت ایجاد نمی کند.
ببینید بعضی از هکرها میان به سایت آقای قربانی نفوذ و وارد ادمین سایت میشن و دیگه حوصله جونگولک بازی رو ندارن که شلر آپلود و فایل های سایت قربانی رو حذف یا ویرایش کنند ،،، مستقیما داخل ادیتور یه دستور css مستقیم <style> .کد های سی اس اس با تصاویر از سایت دیگه. </style> قرار میدن و میگه سایت هک شده ،
پس مهم اینه که هکر طراح سایت ما : با یه دستور css ساده اومده داخل صفحه اصلی سایت رسمی شرکت شما اسکرول رو حذف کرده و یه عکس باحال گذاشته با بکگراند قرمز
شما هک شدید (باید جولو هک شدن سایت رو بگیری تا به css شما نفوذ نکنن تا فایلی از سرور دیگه ای فراخوانی نشه)
فایل css که بهونه هست و token و این چیزا زمانیه که طرف به تمامی اطلاعات سایت شما دسترسی داشته باشه و شما دیفیس شده باشید .