Backstory: il parser di markdown di Stack Exchange consente di utilizzare un paio di tag HTML ( a,b,i,img
), con alcune restrizioni sugli attributi per impedire XSS. Stiamo pensando di richiedere il tag <cite>
per essere autorizzato a consentire alle persone può includere i metadati delle citazioni nello script.
Quindi, la domanda è: consentire il tag <cite>
da utilizzare nel contenuto inviato dall'utente espone eventuali vulnerabilità XSS (o simili)? Per quanto posso dire, il tag è innocuo in quanto contiene solo metadati (che possono essere resi da estensioni o simili).