Abbiamo l'obbligo di consentire agli utenti di caricare un documento XML nel nostro sistema. Non lo processiamo, gli permettiamo solo di scaricarlo di nuovo.
Considerate varie vulnerabilità del browser XSS come questo: link (varie aromi che influenzano IE, Chrome e FF)
Qual è il nostro approccio migliore per consentire agli utenti di scaricare di nuovo il documento in modo sicuro? Cose che abbiamo considerato finora:
- Avvolgi il documento in un file ZIP per il download
- Utilizza un tipo di contenuto semplice / di testo (abbiamo tutte le intestazioni di disattivazione del contenuto-contenuto abilitate ma non abbiamo ancora testato ciò che IE 8 farà in questo scenario)
- Qualcosa di completamente diverso?