Estoy trabajando en un sitio que los clientes usarán incrustándolo en un iframe en su sitio. Quiero darles la posibilidad de personalizar el diseño de los contenidos para que se adapten a los estilos de su sitio.¿Está seguro un archivo CSS externo, o podría dar lugar a la inyección de código?
La idea básica que tengo es permitirles darme la URL de un archivo CSS que debo incluir en la página que les sirvo para completar el iframe. Hasta donde sé, esto es seguro, pero no estoy particularmente familiarizado con CSS (especialmente las versiones más nuevas), así que quiero verificar esto.
¿Hay alguna manera en que alguien pueda construir un archivo CSS que les permita insertar código en mi sitio u obtener acceso a cosas como las cookies de mi dominio? ¿Es esto realmente seguro o necesito encontrar una solución diferente?
Creo que sería mejor que permitiera a los usuarios pegar estilos personalizados en un área de texto y luego puede validar que en realidad es CSS y nada dañino antes de incluirlo en sus vistas. –