Dezynfekcja CSS w Railsach

Chcę umożliwić użytkownikom aplikacji internetowej, którą buduję, napisanie własnego CSS w celu dostosowania ich strony profilu.Dezynfekcja CSS w Railsach

Jednak zdaję sobie sprawę z tego otworu na wiele zagrożeń bezpieczeństwa, tj background: url ('javascript: alert ("Got cookies!" + Document.cookies')

Dlatego szukam a. rozwiązanie do dezynfekcji CSS przy jednoczesnym zachowaniu jak największej możliwej funkcjonalności CSS dla moich użytkowników:

Moje pytania, jeśli ktokolwiek wie o klejnocie lub wtyczce do tego rozwiązania? Wyodrębniłem już moje mózgi, więc wszelkie wskazówki byłby naprawdę doceniony!

Źródło

2010-06-16 Erik

po prostu ciekawy, jak się masz przechowywania CSS? w bazie danych lub jako plik dla każdego użytkownika? –

Wow .. szalony, że można wykonać javascript z CSS w ten sposób. Nie mam pojęcia, jak to rozwiązać - przepraszam! – zaius

Shripad K: Przechowam CSS w bazie danych. zaius: Tak! Sprawdź tę stronę: http://guides.rubyonrails.org/security.html#css-injection – Erik

Szyny mają wbudowany środek dezynfekujący css

Zobacz http://apidock.com/rails/ActionView/Helpers/SanitizeHelper/sanitize_css i jego rodzica http://apidock.com/rails/ActionView/Helpers/SanitizeHelper/sanitize

> ActionController::Base.helpers.sanitize_css('background:#fff') 
=> "background: #fff;" 
> ActionController::Base.helpers.sanitize_css('javascript:alert("garr");') 
=> ""

Źródło

2010-06-16 08:28:10 mylescarrick

OK, dziękuję! Ale jak rozumiem, ta metoda służy tylko do odkażenia atrybutu stylu na elemencie HTML. Nie można go użyć do odkażenia całego arkusza stylów ...? – Erik

Powinno być tak samo - jedna linia lub stos linii ... to nie ma znaczenia. – mylescarrick

Nie obsługuje całego arkusza stylów. – Habax