Санизировать пользовательский CSS в PHP

Я хочу разрешить пользователям использовать собственные таблицы стилей для профилей thei на моем форуме, но я боюсь возможных уязвимостей безопасности. У кого-нибудь есть советы по санированию CSS?

Основной процесс: пользователь вводит CSS в форму → Сохранить в DB → Вывод как встроенный CSS

Ответы

Ответ 1

HTMLPurifier с CSSTidy делает что вы ищете.

HTMLPurifier в первую очередь предназначен для дезинфекции HTML, но также имеет возможность извлекать блоки стилей с помощью CSSTidy.

Вот пример в документах HTMLPurifier (но, увы, я использовал две мои ссылки за сообщение.)

Здесь другой:    

require_once './htmlpurifier/library/HTMLPurifier.auto.php';
require_once './csstidy/class.csstidy.php';

// define some css
$input_css = "
    body {
        margin: 0px;
        padding: 0px;
        /* JS injection */
        background-image: url(javascript:alert('Injected'));
    }
    a {
        color: #ccc;
        text-decoration: none;
        /* dangerous proprietary IE attribute */
        behavior:url(hilite.htc);
        /* dangerous proprietary FF attribute */
        -moz-binding: url('http://virus.com/htmlBindings.xml');
    }
    .banner {
        /* absolute position can be used for phishing */
        position: absolute;
        top: 0px;
        left: 0px;
    }
";

// Create a new configuration object
$config = HTMLPurifier_Config::createDefault();
$config->set('Filter.ExtractStyleBlocks', TRUE);

// Create a new purifier instance
$purifier = new HTMLPurifier($config);

// Turn off strict warnings (CSSTidy throws some warnings on PHP 5.2+)
$level = error_reporting(E_ALL & ~E_STRICT);

// Wrap our CSS in style tags and pass to purifier. 
// we're not actually interested in the html response though
$html = $purifier->purify('<style>'.$input_css.'</style>');

// Revert error reporting
error_reporting($level);

// The "style" blocks are stored seperately
$output_css = $purifier->context->get('StyleBlocks');

// Get the first style block
echo $output_css[0];

И результат:

body {
    margin:0;
    padding:0;
}

a {
    color:#ccc;
    text-decoration:none;
}

.banner {
}

Ответ 2

Определите сами классы и создайте графический интерфейс для применения цветов и других свойств к каждому классу, используйте тот же подход, который твиттер делает для этого.

alt text http://grab.by/grabs/3217158e9c48538eb127fb1678dab6ae.png

Конечно, это будет работать, только если ваш макет фиксирован и определен администратором, а не пользователем.

Ответ 3

Я не вижу, как это может создать уязвимости безопасности, если только профили не используются совместно с другими пользователями.

Если они разделены, могут возникнуть уязвимости CSRF (поскольку CSS может генерировать запросы GET для включения изображений, шрифтов, других таблиц стилей и т.д.). Они также могут использовать content, чтобы обмануть пользователей, нажав на некоторые места, скрыть важную функциональность и т.д. И, конечно, вам нужно было бы избежать <, > и, возможно, &, чтобы предотвратить XSS (если CSS встроен в HTML).

Что касается библиотек для санитарии, я не знаю ни одного (возможно, опрятного).