¿Permitir que la etiqueta de citar cree alguna vulnerabilidad de XSS?

4

Backstory: el analizador de bajadas de Stack Stack permite un par de etiquetas HTML ( a,b,i,img ) a través, con algunas restricciones en los atributos para evitar XSS. Estamos pensando en solicitar que la etiqueta <cite> se permita para que las personas puede incluir metadatos de citas en el script.

Entonces, la pregunta es, ¿permitir que la etiqueta <cite> se use en el contenido enviado por el usuario expone alguna vulnerabilidad de XSS (o similar)? Por lo que puedo decir, la etiqueta es inofensiva, ya que solo contiene metadatos (que pueden ser representados por extensiones o similares).

    
pregunta Manishearth 13.03.2014 - 21:50
fuente

2 respuestas

3

Mirando la definición de la etiqueta de cita no se ve en sí mismo y, por sí mismo, es probable que presente problemas de XSS, ya que en la mayoría de los usos es una etiqueta simple sin parámetros de estilo de JavaScript.

El único problema potencial que podría ver es si interactúa mal con el código que se usa para filtrar el contenido en las etiquetas a , ya que las etiquetas a se pueden anidar dentro de las etiquetas cite , pero eso es principalmente un filtro problema de implementación en lugar de un problema fundamental.

    
respondido por el Rоry McCune 14.03.2014 - 19:54
fuente
0

Si bien es cierto que la etiqueta simple de cite en sí no causará ningún problema de XSS, sin embargo, con la adición del controlador de eventos javascript, XSS sería posible.

Sin embargo, StackExchange probablemente bloquearía todos los controladores de eventos de javascript (o incluirá en la lista blanca la cantidad de atributos permitidos), por lo que creo que esto no es un problema.

Vector: ¡Haz clic en mí! Ejemplo: enlace

    
respondido por el wcypierre 15.03.2014 - 16:44
fuente

Lea otras preguntas en las etiquetas