最近我惊讶地发现 CSS2+ 是图灵完备的,因此从信息安全的角度来看,打开包含 CSS 的网站可能会很危险。话虽如此,例如,如果公司政策严格要求确保系统尽可能安全,则必须只允许使用版本 1 或以下的 CSS。在特定浏览器中完全关闭 CSS 是可能的,但大多数网站在视觉上将变得难以使用(公司政策还要求禁用 JS)。
话虽如此,是否有可能在浏览器中禁用所有 CSS2+,同时允许浏览器仍然呈现 CSS1 代码?
答案1
CSS2 创建于 1998 年,当时网站还处于初级阶段。可以合理地假设,如今几乎所有网站都使用在此日期之后开发的 CSS 选项,毕竟这已经是 24 年前的事了。
如今,大多数网站都使用 CSS3,目前所有主流浏览器都支持该功能。请记住,CSS3 不是 CSS2 的附加组件,而是 CSS2 的替代品。对于所有使用 CSS3 的网站来说,关闭 CSS3 只会让它们完全失去 CSS。
CSS 通过整合 JavaScript 实现了其图灵完备性。如今,所有主流浏览器都针对 JavaScript 攻击进行了严格的保护,甚至可以在沙盒中执行,而无需修改正在运行的系统。
我认为使用 CSS 没有任何危险。至少不会比上网时遇到的一般危险更大。只要小心,就没什么可害怕的。