Насколько безопасно разрешать подгрузку css со стороннего домена?

Question

[Александр]

Привет!
Делаю iframe-виджет для сторонних сайтов. Для настройки внешнего вида виджета разрешил сторонним сайтам указывать путь к внешнему css-файлу - и подключаю его в свой iframe.

Партнеры вставляют к себе такой код:

<script>
	var mysite_widget = {
			partner_id: 123,
			external_css: 'http://partner-site.ru/style.css'
	};
	</script>
	<script src="http://mysite.ru/widget.js"></script>

Далее, widget.js подгружает уже содержимое виджета в iframe:

...
<link href="my_style.css" rel="stylesheet">
<?if($external_css){?><link href="<?=$external_css?>" rel="stylesheet"><?}?>
...

А теперь задумался, похоже на дыру в безопасности?
Ведь внешний сайт может подгрузить не файл стилей, а допустим php-скрипт.
Подскажите, как лучше поступить? Чтобы и безопасно и реализовать гибкую кастомизацию стилей виджета?

Спасибо!

Answer 1

[Алексей]

Вы же не будете делать eval(...) переданного значения, значит код исполнен не будет.
Максимум что вам грозит, если вместо http://partner-site.ru/style.css вам передадут

http://partner-site.ru/style.css"> <script>alert(1);</script> <"

Проведите проверку $external_css на спец. символы (можно просто вырезать все кавычки и угловые скобки).

Comments

[Александр]

По последнему абзацу: предлагаете прочитать содержимое внешнего файла, вырезать все угловые скобки, и подключить на страницу виджета прямо в тело: , да?

[Александр]

...прямо в тело, между тегами «style» ... содержимое внешнего файла стилей ... «/style»

[Алексей]

Вам могут передать ссылку на что угодно, но вы же подключаете эту ссылку как таблицу стилей, к себе не загружаете, не исполняете на своем сервере. Я лично не вижу тут дыры в безопасности.
Вот ваша потенциальная уязвимость:

<script>
  var mysite_widget = {
      partner_id: 123,
      external_css: 'http://partner-site.ru/style.css"> <script>alert(1);</script> <"'
  };
  </script>
  <script src="http://mysite.ru/widget.js"></script>

То есть внедрение javascript в ваш фрейм.
Но чем это грозит? Тем что javascript исполнится в браузере посетителя? Так этот скрипт могли подключить и без вашего виджета.

[Алексей]

Александр: Вам необходимо работать именно во фрейме?
Может быть просто выводить вашу информацию в ..., а те кто его себе поставят пусть уже в своих стилях изменяют его вид как хотят.

[Александр]

Алексей: у меня в виджете прилично логики: списки сущностей, фильтрация по ним, много js-кода и плагинов исполняется. Без айфрейма не получается реализовать.

[Алексей]

Александр: Понял, переделывать очень много.