Pracuję nad witryną, której będą używać klienci, umieszczając ją w elemencie iframe w swojej witrynie. Chcę dać im możliwość dostosowania wyglądu treści, tak aby pasowały do stylu ich witryny.Czy dołączenie zewnętrznego pliku CSS jest bezpieczne, czy może doprowadzić do wstrzyknięcia kodu?
Podstawową ideą, jaką mam, jest umożliwienie im podania adresu URL do pliku CSS, który powinienem umieścić na stronie, którą podaję, aby wypełnić element iframe. O ile mi wiadomo, jest to bezpieczne, ale nie jestem szczególnie zaznajomiony z CSS (szczególnie nowszymi wersjami), więc chcę to zweryfikować.
Czy jest jakiś sposób, aby ktoś mógł skonstruować plik CSS, który pozwoliłby mu wprowadzić kod do mojej witryny lub uzyskać w inny sposób dostęp do plików cookie mojej domeny? Czy to naprawdę bezpieczne, czy muszę wymyślić inne rozwiązanie?
Myślę, że lepiej byłoby pozwolić użytkownikom na wklejenie niestandardowych stylów w obszarze tekstowym, a następnie można sprawdzić, czy faktycznie jest to CSS i nic szkodliwego przed włączeniem go do swoich widoków. –