¿Cuál es el riesgo de permitir la visualización de archivos HTML arbitrarios?

4

Github y Bitbucket permiten archivos README en formatos como Markdown o reStructuredText, pero no en formato HTML.

¿Existe algún riesgo de seguridad al hacerlo?

    
pregunta Jason S 05.04.2017 - 20:22
fuente

1 respuesta

8

Los archivos HTML pueden contener Javascript en el que los navegadores se ejecutarán con permiso del dominio en el que se muestra. Si github permitió que los usuarios cargaran HTML arbitrario en el dominio github.com, entonces, por ejemplo, un atacante podría crear un repositorio que, al verlo, hizo que su navegador copie el archivo Léame en todos sus propios repositorios (realizando solicitudes AJAX contra github. com), que luego continuaría extendiéndose por todo el sitio. (El código también podría tener otra funcionalidad, como hacer públicos todos sus repositorios privados, cambiar la información de su perfil, etc.)

    
respondido por el Macil 05.04.2017 - 20:28
fuente

Lea otras preguntas en las etiquetas