Question

Мы стремимся позволить нашим клиентам редактировать метаданные для страниц в нашей CMS.Плагин позволяет клиенту вставлять метатеги в заголовок страниц и определять свои собственные имена и атрибуты содержимого.

<meta name="my_name" content="my_content">

Безопасно ли это?Есть ли у них какие-либо XSS-атаки, которые могли бы воспользоваться этим?

Приветствую вас, ребята и девчонки

Craig552uk · Answer 1 · 26 января 2012

Я обнаружил, что плагин не использует html-экранирование значений, вводимых пользователем.Таким образом, вы можете предоставить значение контента:

0;url=http://www.google.com" http-equiv="refresh

Для получения перенаправления мета, например:

Я сообщил о проблеме разработчикам плагинов.

XSS и метатеги

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

XSS и метатеги

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы