Sto lavorando a un sito Web in cui devo consentire all'utente di modificare più valori CSS nel proprio CMS. Ho bisogno di leggere questi valori nel browser in CSS e imbattersi in un modo "facile" per fare proprio questo: creare un file PHP ma inviare il tipo di contenuto dell'intestazione come text/css come visto sotto :
<?php
header( "Content-type: text/css; charset: UTF-8" );
$body_bgcolor = get_option( 'background_color' );
/* ... Additional Settings ... */
?>
body {background-color: <?php echo $body_bgcolor; ?>}
Questo mi consente di inviare quanto sopra al browser usando:
<link rel="stylesheet" href="http://domain.com/globals/customizations.php" type="text/css" />
Tutto quanto sopra funziona bene e potrebbe presentare alcuni inconvenienti in termini di prestazioni, ma sono più preoccupato per eventuali buchi di sicurezza che questo può creare. Parlando di questo con i colleghi hanno parlato vagamente di quanto insicuro fosse il metodo di cui sopra. Ho provato a cercare su questo argomento ma non ho trovato nulla di specifico che discuta le implicazioni sulla sicurezza di fare quanto sopra.
L'applicazione di quanto sopra potrebbe essere insicura in qualche modo?