Mi viene chiesto di consigliare uno scenario in cui i meta tag in una pagina di errore 404 includono l'Open Graph og: url, che è (mi viene detto) popolato dalle librerie React.
- L'URL completo presentato al server è incluso.
- È codificato per URL.
In linea di principio, ciò solleva i dubbi relativi alla vulnerabilità di scripting cross-site.
In termini di consulenza su una linea d'azione, sto attraversando un periodo difficile, date le seguenti considerazioni:
-
Il tag og: url sembra destinato a generare visualizzazioni di pagina e tali statistiche di tipo di social network. Inserirlo in una pagina di errore è inutile. Tuttavia, sembra che provenga da alcune librerie React che potrebbero non essere sufficientemente regolabili per modificare facilmente questo comportamento.
-
È codificato URL, che fornisce un buon grado di isolamento. D'altra parte, questo non è nella barra degli indirizzi del browser; è incorporato in HTML, quindi la codifica HTML sembrerebbe più appropriata. Esiste un'esposizione significativa a causa di questa differenza?
-
Il campo og: url, da quello che è emerso con il mio breve googling, sembra essere più abituato a puntare a un URL "canonico" in modo che i racconti delle pagine siano aggregati. Inserire un URL raw che nel nostro caso può avere molti percorsi di documenti oltre il livello superiore nel campo og: url sembra ... non ottimale, anche a parte l'esposizione XSS.
Pensieri?