XSS可以通过@import实现吗?如果可以，那么如何实现？有什么办法可以防止它吗？

Question

我们允许通过我们的CMS中的自定义CSS编辑器使用@import，但是我想知道我们是否已经通过这样做为自己打开了面对潜在安全风险的大门，它能被用于XSS吗？

如果是这样的话，这将如何工作，以及进一步，我们如何着手保护自己免受这样的攻击？

FYI，我们实际上不会将@import语句放在定制CSS中，当它被服务时，它们会通过preg_replace_callback()被剥离，并通过file_get_contents()替换成它们的实际目标内容。这样，CSS仍然可以被缓存，而不是阻塞页面加载，但有可能让我们有机会过滤所使用的URL，甚至是返回的内容。

编辑：

在@duskwuff的快速教育之后，提供该服务显然存在许多潜在的问题，但它看起来类似于一个类似的问题和答案(这里是：https://stackoverflow.com/a/5209050/1058733)，它表明可以非常安全地使用HTMLPurifier + CSSTidy对CSS输入进行清理，这非常适合在file_get_contents()之后和缓存之前，以及在保存对象过程中进行，以获得良好的效果。

Answer 1

是。一般来说，CSS是不安全的--有很多种方法可以用来注入Javascript代码，包括但不限于：

• 动态特性 (expression() -在Internet 7及更早版本中)
• DHTML行为 (behavior - in Internet )
• XBL绑定 (基于壁虎的浏览器)

根据站点的性质，还可以使用不受限制的CSS从用户那里窃取密码，方法是重新格式化页面内容以显示密码提示，或者通过重新格式化或隐藏页面的重要组件(例如隐藏“登录”链接)拒绝对站点的访问。

不允许用户输入将在您的站点上使用的CSS，除非您准备完全解析它并根据已批准的属性和选择器的白名单对其进行验证。