Supongamos que nuestro sitio permite cargar cualquier archivo HTML.
Luego, un pirata informático puede robar la cookie de otro usando JavaScript.
¿Qué pasa si vamos a servir los archivos HTML cargados con Content-Disposition: attachment ? ¿Protegerá esto contra este tipo de ataque?
¿Cuáles son otras variantes de protección? Podemos servir archivos subidos desde otro dominio. ¿Hay otra forma de protegernos contra esto?
De acuerdo con los estándares, si utiliza Content-Disposition: attachment , se espera que el navegador no muestre el archivo HTML, sino que solicite al usuario que lo guarde como un archivo.
Si solo quieres compartir archivos HTML sin mostrarlos, supongo que está bien, aunque lo convencional sería colocarlos en un formato de archivo, como .tar.gz o .zip .
Si coloca los archivos cargados en una ubicación específica en el servidor, configure su servidor web para mostrarlos como texto para que nunca se ejecuten.
Lea otras preguntas en las etiquetas html xss cookies javascript