Работа с чужим контентом может быть небезопасно, даже если на первый взгляд вставки совершенно простые и понятные, не несущие никакой угрозы. Взять, к примеру, код <_img src=»https://example.com/00.jpg» /_>, если мы включаем его в свой, это значит, что мы доверяем домену example. Ведь он может это доверие обмануть: удалить картинку, и тогда страница наша будет выглядеть поломанной, выдавая 404. А может вообще заменить эту картинку на другую, менее приятную, чем изначальные котики.
Но в этом случае влияние кона на наш ресурс этим и ограничено, то есть областью контента собственно самого элемента. И любая гадость, что появится там, никак не сможет затронуть паролей и прочих данных, которые не относятся к эстетическим чувствам.
Что касается CSS, то код <_link rel=»stylesheet» href=https://example.com/style.css_> не так прост, как кажется, и возможности у него ближе к стороннему скрипту, нежели к картинке. CSS способен действовать (влиять) на всю страницу. А что на самом деле он умеет?
Конечно, на CSS не получится написать какой-нибудь майнер, во всяком случае, пока о таких ничего не известно, тем не менее, вредоносный CSS немало хлопот может принести сайу.
У стороннего скрипта возможности почти безграничны, и вставляя на свой сайт код типа <_script src=»https://example.com/script.js»_>, вы должны чётко уяснить, что это, и вы должны полностью доверять домену, откуда код взят, ведь это означает практически полный контроль чужого человека на вашим сайтом. А что может скрипт?
Сторонний контент из далека, из своей песочницы много на что может повлиять. Скрипты, и даже стили способны работать с целой страницей, а иногда и целого домена. Так что, всегда стоит хорошенько сначала всё обдумать, прежде чем вставлять сторонний контент на свой сайт.
Поделись мнением о статье "Сторонний CSS может быть опасен", предложи свой вариант в комментариях! Спасибо!
