假設(shè)我有一個字串鍵和字串值的對象��,我想將它們作為 CSS 自訂屬性寫入伺服器產(chǎn)生的一些 HTML 中�����。我怎樣才能安全地做到這一點�����?
我所說的安全是指
- 如果可能的話��,自訂屬性宣告不應(yīng)導(dǎo)致 CSS 語法錯誤��,從而阻止瀏覽器正確解析其他樣式宣告或 HTML 文件的部分�。如果由於某種原因這是不可能的,則應(yīng)省略鍵值對�。
- 更重要的是,這樣應(yīng)該不可能進行跨站點腳本編寫���。
為了簡單起見�,我將限制鍵只允許 [a-zA-Z0-9_-] 類別中的字元�。
透過閱讀 CSS 規(guī)範(fàn)和一些個人測試,我認為透過以下步驟來取得值可以取得很大的進展:
- 查找字串
- 確保每個引號後面都有另一個相同類型(“或')的(未轉(zhuǎn)義的)引號���。如果不是這種情況���,請丟棄此鍵/值對�。
- 確保字串外部的每個左大括號
{([字串外部的 都有一個符合的右大括號。如果沒有�,則丟棄此鍵值對。
- 使用
\3C 轉(zhuǎn)義 << 的所有實例�����,以及所有使用 3E 轉(zhuǎn)義 > 的所有實例。
- 使用
\3B 對 ; 的所有實例進行轉(zhuǎn)義����。
我根據(jù)這個 CSS 語法規(guī)格想出了上述步驟
對於上下文,這些屬性可以由我們在其他地方插入的用戶自訂樣式使用�����,但同一物件也用作模板中的模板數(shù)據(jù)��,因此它可能包含旨在作為內(nèi)容的字串和預(yù)期的字串的混合作為CSS 變數(shù)����。我覺得上面的演算法取得了很好的平衡,既非常簡單����,又不會冒丟棄太多可能在CSS 中有用的鍵值對的風(fēng)險(即使考慮到未來對CSS 的添加,但我想確保我沒有遺漏什麼�����。
這裡有一些 JS 程式碼��,展示了我想要實現(xiàn)的目標(biāo)��。 obj 是有問題的對象,而 preprocessPairs 是一個函數(shù)�����,它接受該對象並對其進行預(yù)處理����,刪除/重新格式化值,如上述步驟所述�。
function generateThemePropertiesTag(obj) {
obj = preprocessPairs(obj);
return `<style>
:root {
${Object.entries(obj).map(([key, value]) => {
return `--theme-${key}: ${value};`
}).join("\n")}
}
</style>`
}
所以當(dāng)給定一個這樣的物件時
{
"color": "#D3A",
"title": "The quick brown fox"
}
我希望 CSS 看起來像這樣:
:root {
--theme-color: #D3A;
--theme-title: The quick brown fox;
}
雖然 --theme-title 在 CSS 中使用時是一個非常無用的自訂變量,但它實際上並沒有破壞樣式表�����,因為 CSS 會忽略它不理解的屬性�。
