Supongamos que nuestro sitio permite cargar cualquier archivo HTML.
Luego, un pirata informático puede robar la cookie de otro usando JavaScript.
¿Qué pasa si vamos a servir los archivos HTML cargados con Content-Disposition: attachment
? ¿Protegerá esto contra este tipo de ataque?
¿Cuáles son otras variantes de protección? Podemos servir archivos subidos desde otro dominio. ¿Hay otra forma de protegernos contra esto?