URL original codificada en url en la página de error a través de og: url meta tag - ¿Evaluación de riesgos?

1

Se me pide que aconseje sobre un escenario en el que las etiquetas meta en una página de error 404 incluyen Open Graph og: url, que (según me dicen) está poblado por las bibliotecas React.

  • Se incluye la url completa tal como se presenta al servidor.
  • Es la URL codificada.

En principio, esto plantea problemas de vulnerabilidad de scripts entre sitios.

En términos de asesoramiento sobre un curso de acción, estoy teniendo dificultades, dadas las siguientes consideraciones:

  • La etiqueta og: url parece estar destinada a generar vistas de página y estadísticas de tipo de redes sociales. Ponerlo en una página de error no tiene sentido. Sin embargo, parece que proviene de algunas bibliotecas React que pueden no ser lo suficientemente ajustables para cambiar fácilmente este comportamiento.

  • Está codificado en URL, lo que proporciona un buen grado de aislamiento. Por otro lado, esto no está en la barra de direcciones del navegador; está incrustado en HTML, por lo que la codificación HTML parece más apropiada. ¿Existe una exposición significativa debido a esta diferencia?

  • El campo og: url, de lo que surgió con mi breve búsqueda en Google, parece ser mejor usado para apuntar a una URL "canónica" para que se agreguen los recuentos de visitas de la página. Poner una URL sin procesar que en nuestro caso puede tener muchas rutas de documentos más allá del nivel superior en el campo og: url parece ... subóptimo, incluso aparte de la exposición XSS.

¿Pensamientos?

    
pregunta Scott 29.06.2016 - 19:59
fuente

0 respuestas

Lea otras preguntas en las etiquetas