1
私たちは顧客がCMS外のページのメタデータを編集できるようにしています。このプラグインにより、顧客はメタタグをページの先頭に挿入し、独自の名前とコンテンツの属性を定義することができます。XSSタグとメタタグ
<meta name="my_name" content="my_content">
これは安全ですか?これを利用できるXSS攻撃はありますか?
乾杯のみんなのnギャルは
A
答えて
2
私は、プラグインは、HTMLエスケープしないことをユーザーの入力値を発見しました。メタを取得するには
0;url=http://www.google.com" http-equiv="refresh
次のようにリダイレクトします:だからのコンテンツの価値を提供することができます
私は、プラグインの開発者に問題を報告してきました。
+0
正確です。スクリプトタグをエスケープして作成することもできます。 – Erlend
関連する問題
- 1. HTMLタグはXSS
- 2. メタタグに動的タグを表示
- 3. XSS経由のimgタグ、冗長セミコロン?
- 4. ポリマーでダイナミックなメタタグとオープングラフのタグを設定するには?
- 5. XSSとhtmlentities
- 6. XSSドメインとサブドメイン
- 7. setAttribute()とXSS
- 8. BBCodeとXSSのエスケープ?
- 9. JSF SelectItemsとエスケープ(xss)
- 10. Backbone.jsとXSS/HTMLエスケープ
- 11. チェック入力とXSS
- 12. メタタグ
- 13. メタタグ
- 14. ビューMVCのメタタグのhtmlタグを削除するには?
- 15. PHPが<head>タグの後にメタタグを取得する
- 16. XSSの不正な形式のタグを防ぐ方法
- 17. IIS 8.0 - URLからストリップhtmlタグ(XSS保護)
- 18. XSSを防ぐが、すべてのHTMLタグが
- 19. できXSS攻撃の使用スパン、P、ラベル...タグ
- 20. ULタグを削除するアンチXSSライブラリ。どうして?
- 21. Persistent XSSとStored XSSは完全に同じですか?
- 22. PHPのfile_get_contentsとecho modifiedメタタグ
- 23. imagetoolbarメタタグとIEのバージョン
- 24. メタタグitemprop
- 25. PHPフォームのバリデーションとXSSセキュリティ
- 26. AutobanとXSSの問題
- 27. XSSとCSRFの改善
- 28. XSS Vurnability
- 29. ogメタタグ、ソーシャルボタン、アングルアイコン
- 30. PHP - メタタグは
私はそれらをどのように保存しているのか分かりませんが、これは危険です。 –