Влияние чужого CSS на страницу
  • 27.04.2018
  • CSS

Сторонний CSS может быть опасен

Работа с чужим контентом может быть небезопасно, даже если на первый взгляд вставки совершенно простые и понятные, не несущие никакой угрозы. Взять, к примеру, код <_img src=»https://example.com/00.jpg» /_>, если мы включаем его в свой, это значит, что мы доверяем домену example. Ведь он может это доверие обмануть: удалить картинку, и тогда страница наша будет выглядеть поломанной, выдавая 404. А может вообще заменить эту картинку на другую, менее приятную, чем изначальные котики.

Но в этом случае влияние кона на наш ресурс этим и ограничено, то есть областью контента собственно самого элемента. И любая гадость, что появится там, никак не сможет затронуть паролей и прочих данных, которые не относятся к эстетическим чувствам.

Сторонний CSS

Что касается CSS, то код <_link rel=»stylesheet» href=https://example.com/style.css_> не так прост, как кажется, и возможности у него ближе к стороннему скрипту, нежели к картинке. CSS способен действовать (влиять) на всю страницу. А что на самом деле он умеет?

  • Всё с содержимым страницы, от изменения содержания до его удаления;
  • Посылать различные запросы;
  • Реагировать почти на любые действия посетителя.

Конечно, на CSS не получится написать какой-нибудь майнер, во всяком случае, пока о таких ничего не известно, тем не менее, вредоносный CSS немало хлопот может принести сайу.

Сторонний скрипт

У стороннего скрипта возможности почти безграничны, и вставляя на свой сайт код типа <_script src=»https://example.com/script.js»_>, вы должны чётко уяснить, что это, и вы должны полностью доверять домену, откуда код взят, ведь это означает практически полный контроль чужого человека на вашим сайтом. А что может скрипт?

  • Менять и удалять содержимое страницы;
  • Отслеживать любое действие посетителя;
  • Запускать вычисления, то есть теперь майнер крипты – запросто;
  • Послать любые запросы на основной сервер, причём с куками посетителей;
  • И много чего ещё, ограничение – только наша фантазия.

Сторонний контент из далека, из своей песочницы много на что может повлиять. Скрипты, и даже стили способны работать с целой страницей, а иногда и целого домена. Так что, всегда стоит хорошенько сначала всё обдумать, прежде чем вставлять сторонний контент на свой сайт.


Поделись мнением о статье "Сторонний CSS может быть опасен", предложи свой вариант в комментариях! Спасибо!


Добавить комментарий

Ваш e-mail не будет опубликован.