Backstory: el analizador de bajadas de Stack Stack permite un par de etiquetas HTML ( a,b,i,img
) a través, con algunas restricciones en los atributos para evitar XSS. Estamos pensando en solicitar que la etiqueta <cite>
se permita para que las personas puede incluir metadatos de citas en el script.
Entonces, la pregunta es, ¿permitir que la etiqueta <cite>
se use en el contenido enviado por el usuario expone alguna vulnerabilidad de XSS (o similar)? Por lo que puedo decir, la etiqueta es inofensiva, ya que solo contiene metadatos (que pueden ser representados por extensiones o similares).