Ho un blog WordPress e quando navigo su un particolare percorso come http://example.com/wp-content/themes/css/jquery-scrollbar.css? , potrei vedere tutto il codice CSS per la barra di scorrimento.
Le mie domande sono:
Si tratta di un comportamento normale o di una vulnerabilità?
Come impedire al browser di mostrare il CSS?
Il codice CSS conosciuto è una vulnerabilità?
Tutto ciò che viene eseguito nel browser può essere visto dal client, che è la natura del Web. Questo include HTML, javascript e CSS. Quindi, a meno che tu non metta qualcosa di confidenziale in un file che verrà servito dal tuo browser, questa non è una vulnerabilità.
Modifica: di seguito è riportato il commento di @ schroeder
Inoltre, ogni singola pagina web può mostrare il codice CSS. Puoi scaricare i file CSS o aprire la vista sviluppatore per vedere e persino manipolare il codice CSS per il tuo browser.
Benvenuti in Security.SE. Il problema che hai descritto non è una vulnerabilità di sicurezza. Il motivo è che i file JavaScript e CSS devono essere visualizzabili dal browser in modo che il tuo sito web possa funzionare normalmente.
Questo è del tutto normale per una pagina Web senza protezione esplicita, è anche possibile copiare un intero sito Web se si ha accesso a un terminale bash. L'unico vero modo per assicurarsi che nessuno abbia accesso a directory o file è usare un file .htaccess. Questi dettano quali directory l'utente può visualizzare e non. Ad esempio, se aggiungi una voce per www.foo.com/css, allora ci vado, restituirà un 403.
Spero che questo aiuti.
Leggi altre domande sui tag css vulnerability