HTML 组件 (HTC) 文件是否是潜在的攻击媒介?

信息安全 http IE浏览器
2021-08-21 14:23:11

我正在一个网站上工作,该网站对用户安全的关注高于正常水平。我最近一直在处理旧版本的 IE(我们支持 7 和更高版本)的一些 CSS 问题,发现其中一些问题的简单解决方案是使用 HTML 组件文件 (.htc) 来添加某些 CSS3 行为。 http://msdn.microsoft.com/en-us/library/ms531018(v=vs.85).aspx

有人给我一个不确定的建议,即这些方法可能会导致安全问题,无论是在损害客户端浏览器还是服务器(后者会让我感到惊讶)方面。我试过做一些谷歌研究,但不能轻易找到任何此类问题的提及。这里有人会对这个问题有更多的了解吗?

1个回答

我对它们不是很熟悉,但总体上看不出它们有什么不安全的地方,但我可以想象它们以不安全的方式使用的风险,典型的 owasp 十大类型的风险来自过度信任用户输入。

您是否允许通过不受信任的输入上传或编辑这些文件/其他 CSS/html 内容?不受信任的用户可以编辑服务器上的文件吗?如果客户端计算机受到损害(恶意软件等),他们无疑可以更改它,但无论如何这都是一个有争议的问题。

这里也提到了 htc,但似乎符合上述风险: 基于 CSS 的攻击

其它你可能感兴趣的问题
上一篇多个网关(Whonix with Tails)? 下一篇在 Windows 8 中将域帐户与个人 Microsoft 帐户相关联有哪些安全隐患?