允许 JavaFX 程序自定义 CSS 样式表的安全性
Safety of allowing custom CSS stylsheets for a JavaFX program
我计划允许我的 JavaFX 程序的用户select 自定义 CSS 样式表,以便他们可以完全自定义他们的 UI 布局和设计。
我想知道这是否是一个安全的想法,因为我知道这对某些程序来说可能是危险的,因为它允许人们注入代码,尽管我似乎找不到任何关于使用 CSS 用于在 JavaFX 中定义样式以外的任何内容。
这不是你需要关心的话题。
如果您仍然担心,请继续阅读...
Ah, so there is no chance a user could use a stylesheet to somehow manipulate the program maliciously?
好吧,我不会说没有机会。软件很复杂,漏洞利用可能不寻常且出乎意料。
但是,在我看来,这种情况发生并对您的应用程序用户造成足够伤害以至于值得您自己投资于潜在对策的可能性微乎其微。
你和其他人的努力最好花在别处。使用安全的服务器和包装,使用最新的框架和库,补丁或重新部署已知漏洞等。
一个 JavaFX 应用程序,您提供所有代码并且该应用程序作为一个包安装在客户端机器上,与从您无法控制的许多网络位置获取的 Web 浏览器相比,它具有本质上不同的攻击面。
没有跨站点服务器就没有服务器端跨站点代码注入。因此,尝试对 JavaFX 客户端应用网站 css 攻击(这不正常,大多数站点攻击是脚本、网络钓鱼、服务器感染的恶意软件等)是行不通的。
如果您仍然担心,请自己进一步研究该主题。
我计划允许我的 JavaFX 程序的用户select 自定义 CSS 样式表,以便他们可以完全自定义他们的 UI 布局和设计。
我想知道这是否是一个安全的想法,因为我知道这对某些程序来说可能是危险的,因为它允许人们注入代码,尽管我似乎找不到任何关于使用 CSS 用于在 JavaFX 中定义样式以外的任何内容。
这不是你需要关心的话题。
如果您仍然担心,请继续阅读...
Ah, so there is no chance a user could use a stylesheet to somehow manipulate the program maliciously?
好吧,我不会说没有机会。软件很复杂,漏洞利用可能不寻常且出乎意料。
但是,在我看来,这种情况发生并对您的应用程序用户造成足够伤害以至于值得您自己投资于潜在对策的可能性微乎其微。
你和其他人的努力最好花在别处。使用安全的服务器和包装,使用最新的框架和库,补丁或重新部署已知漏洞等。
一个 JavaFX 应用程序,您提供所有代码并且该应用程序作为一个包安装在客户端机器上,与从您无法控制的许多网络位置获取的 Web 浏览器相比,它具有本质上不同的攻击面。
没有跨站点服务器就没有服务器端跨站点代码注入。因此,尝试对 JavaFX 客户端应用网站 css 攻击(这不正常,大多数站点攻击是脚本、网络钓鱼、服务器感染的恶意软件等)是行不通的。
如果您仍然担心,请自己进一步研究该主题。