<iframe sandbox="allow-scripts allow-same-origin"
src="javascript:alert(1)">
¿Me gustaría saber si el atributo src
de un iframe
es seguro para la entrada del usuario?
Encontré esta pregunta , pero mi duda es que probé el código proporcionado en la respuesta y no hace nada con el atributo sandbox="allow-scripts allow-same-origin"
.
Estoy permitiendo que el usuario publique videos, al hacerlo, cuando el usuario publica un enlace en el backend, se realiza una solicitud de obtención para obtener el valor correcto en la etiqueta meta
.
Sin embargo, nada detiene a OP para publicar un enlace a www.my-site-with-fake-meta-tag.com y tratar de hacer algo divertido.
Por lo tanto, podría incluir en la lista blanca algunos dominios, pero es un proceso molesto. Además de cada sitio que verifiqué, utiliza un iframe src para el contenido enviado por el usuario.