¿Necesitaré agregar algún atributo para restringir el arrastrar y soltar de cualquier archivo?
¿Necesitaré agregar algún atributo para restringir el arrastrar y soltar de cualquier archivo?
Un ataque XSS se realiza inyectando código malicioso para mostrarlo a otro usuario.
Para usar un formulario de inicio de sesión estándar para un ataque XSS, necesitaría que el código malicioso esté en el nombre de usuario, lo único que es probable que se muestre a otros usuarios.
Pero la forma en que el nombre de usuario con una carga útil malintencionada no es relevante, por lo que no es inherente al hecho de que use arrastrar y soltar.
Permitir un nombre de usuario que consista en una gran cantidad de texto (por ejemplo, el contenido de un archivo) facilitaría la realización de este tipo de ataque XSS en un nombre de usuario. Así que querrás verificar el nombre de usuario contra él.
Dicho esto, los nombres de usuario a menudo están limitados en la longitud que pueden tener. Esto los hace improbables vectores de ataque. Si está ejecutando algún tipo de foro, es más probable que las líneas de firmas y las publicaciones de los usuarios contengan un ataque XSS.
Lea otras preguntas en las etiquetas penetration-test xss