url-encoded URL originale nella pagina di errore tramite og: url meta tag - Valutazione del rischio?

1

Mi viene chiesto di consigliare uno scenario in cui i meta tag in una pagina di errore 404 includono l'Open Graph og: url, che è (mi viene detto) popolato dalle librerie React.

  • L'URL completo presentato al server è incluso.
  • È codificato per URL.

In linea di principio, ciò solleva i dubbi relativi alla vulnerabilità di scripting cross-site.

In termini di consulenza su una linea d'azione, sto attraversando un periodo difficile, date le seguenti considerazioni:

  • Il tag og: url sembra destinato a generare visualizzazioni di pagina e tali statistiche di tipo di social network. Inserirlo in una pagina di errore è inutile. Tuttavia, sembra che provenga da alcune librerie React che potrebbero non essere sufficientemente regolabili per modificare facilmente questo comportamento.

  • È codificato URL, che fornisce un buon grado di isolamento. D'altra parte, questo non è nella barra degli indirizzi del browser; è incorporato in HTML, quindi la codifica HTML sembrerebbe più appropriata. Esiste un'esposizione significativa a causa di questa differenza?

  • Il campo og: url, da quello che è emerso con il mio breve googling, sembra essere più abituato a puntare a un URL "canonico" in modo che i racconti delle pagine siano aggregati. Inserire un URL raw che nel nostro caso può avere molti percorsi di documenti oltre il livello superiore nel campo og: url sembra ... non ottimale, anche a parte l'esposizione XSS.

Pensieri?

    
posta Scott 29.06.2016 - 19:59
fonte

0 risposte

Leggi altre domande sui tag