Permettere al tag cite di creare vulnerabilità XSS?

4

Backstory: il parser di markdown di Stack Exchange consente di utilizzare un paio di tag HTML ( a,b,i,img ), con alcune restrizioni sugli attributi per impedire XSS. Stiamo pensando di richiedere il tag <cite> per essere autorizzato a consentire alle persone può includere i metadati delle citazioni nello script.

Quindi, la domanda è: consentire il tag <cite> da utilizzare nel contenuto inviato dall'utente espone eventuali vulnerabilità XSS (o simili)? Per quanto posso dire, il tag è innocuo in quanto contiene solo metadati (che possono essere resi da estensioni o simili).

    
posta Manishearth 13.03.2014 - 21:50
fonte

2 risposte

3

Esaminando la definizione del cita il tag non sembra di per sé e probabilmente introdurrà problemi XSS poiché nella maggior parte degli usi è un tag senza parametri di stile JavaScript.

L'unico problema potenial che potrei vedere è se interagisce male con il codice che viene usato per filtrare il contenuto in a tag come a tag può essere annidato dentro cite tag, ma questo è principalmente solo un filtro problema di implementazione piuttosto che un problema fondamentale.

    
risposta data 14.03.2014 - 19:54
fonte
0

Anche se è vero che il tag nullo di Cite non causerà alcun problema XSS, tuttavia, con l'aggiunta del gestore di eventi javascript, XSS sarebbe possibile.

Tuttavia, StackExchange bloccherebbe probabilmente tutti i gestori di eventi javascript (o la whitelist il numero di attributi consentiti) quindi credo che questo non sia un problema.

Vettore: Click Me! Esempio: link

    
risposta data 15.03.2014 - 16:44
fonte

Leggi altre domande sui tag