UCH用户通过自定义CSS可以嵌入病毒

IE特有的CSS中的属性expression 为什么不过滤？？？？ 可以嵌入框架页面或者JS，进而传播病毒。
希望官方尽快给出解决方案！！！

[ 本帖最后由 茄子 于 2008-6-2 09:51 编辑 ]

自定义css功能，是允许用户自己编写css用于美化自己的空间。在uch里面，更多的是好友之间的访问，如果你访问你的好友空间，发现自己的好友定义了一堆垃圾css，估计下次人家再也不去访问了。

如果楼主觉得开启用户自定义css不好，可以这样做：
打开 ./source/cp_theme.php
找到

1. 
   
2. } elseif ($op == 'diy') {
   

复制代码

在下面增加一行：

1. 
   
2. showmessage("本站不支持自定义css");
   

复制代码

谢谢回复 自定义CSS功能是应该有的，不应该关闭。
只是expression 惹的获，不应该株连九族。 难道没有更好的解决办法吗？

不好意思，再补充一下，这是个问题，校内网就有这个漏洞，一直没能清理干净。

取消expression 就没法很好的自定义css了
这也是所有开启css自定义的站点的共同问题。没有办法避免，除非就是取消该功能

expression  只在IE浏览器下生效 FF就不支持  所以定义CSS完全可以不用这个CSS属性

不懂，学习中

写个过滤。把这个属性过滤掉。在输出的时候

这个问题就是矛和盾的问题。不过应该有解决办法的