1
我們正在考慮允許我們的客戶在CMS中編輯頁面的元數據。該插件允許客戶將元標籤插入到頁面的頭部並定義他們自己的名稱和內容屬性。XSS和Meta標籤
<meta name="my_name" content="my_content">
這是安全嗎?他們的任何XSS攻擊可以利用這個優勢嗎?
Cheers guys n gals
A
回答
2
我發現該插件沒有HTML轉義用戶輸入值。所以,你可以提供的內容值:
0;url=http://www.google.com" http-equiv="refresh
要獲得元重定向這樣的:
我所舉報的問題向插件開發。
+0
。你可能也可以逃脫並創建一個腳本標記。 – Erlend
相關問題
- 1. PHP包含和Meta標籤
- 2. SEO - META標籤和谷歌
- 3. META「expires」標籤
- 4. 在meta標籤
- 5. Meta標籤jekyll
- 6. Meta標籤
- 7. Meta標籤itemprop
- 8. Cakephp Meta標籤
- 9. Alias meta標籤
- 10. 在meta標籤
- 11. Sitecore Meta標籤
- 12. 正從meta標籤
- 13. 與AJAX meta標籤
- 14. 有關meta標籤
- 15. Facebook的meta標籤
- 16. 在HTML meta標籤
- 17. meta標籤描述
- 18. Meta標籤身體
- 19. 建議META標籤?
- 20. 自動從其他meta標籤填充meta標籤
- 21. HTML <meta>標籤和魷魚
- 22. imagetoolbar meta標籤和IE版本
- 23. C#和添加動態META標籤
- 24. Meta Box,WordPress和新標籤頁/窗口
- 25. Meta標籤和製造商說明(opencart)
- 26. 的robots.txt和Meta標籤機器人
- 27. Meta標籤解釋:http-equiv和charset
- 28. XSS沒有HTML標籤
- 29. <meta name =「title」>標籤和<title></title>標籤
- 30. 用一樣的Meta標籤
我不知道你如何保存這些,但這是有風險的。確切地說, –