Qual è il rischio di consentire la visualizzazione di file HTML arbitrari?

4

Github e Bitbucket consentono file README in formati come Markdown o reStructuredText, ma non in formato HTML.

C'è un rischio per la sicurezza nel farlo?

    
posta Jason S 05.04.2017 - 20:22
fonte

1 risposta

8

I file HTML possono contenere Javascript che i browser eseguiranno con il permesso per il dominio su cui è visualizzato. Se Github consentiva l'HTML arbitrario caricato dagli utenti per la visualizzazione sul dominio github.com, ad esempio un utente malintenzionato potrebbe creare un repository che, quando visualizzato, ha causato la copia del readme da parte del browser in tutti i propri repository (effettuando richieste AJAX contro github. com), che continuerebbe poi a diffondersi attraverso il sito. (Il codice potrebbe anche avere altre funzionalità, come rendere pubblici tutti i tuoi repository privati, modificare le informazioni del tuo profilo, ecc.)

    
risposta data 05.04.2017 - 20:28
fonte

Leggi altre domande sui tag