Supponiamo che il nostro sito consenta il caricamento di qualsiasi file HTML.
Quindi un hacker può rubare il cookie di altri usando JavaScript.
Che cosa succede se pubblicheremo file HTML caricati con Content-Disposition: attachment
? Proteggerà da questo tipo di attacco?
Quali sono le altre varianti di protezione? Potremmo pubblicare file caricati da un altro dominio. C'è un altro modo per proteggerci da questo?