我们正在考虑允许我们的客户编辑CMS中的网页元数据。该插件允许客户将元标记插入页面头部并定义自己的名称和内容属性。
<meta name="my_name" content="my_content">
这样安全吗?他们的任何XSS攻击都可以利用这个吗?
干杯伙伴们
答案 0 :(得分:2)
我发现插件没有html-escape用户输入值。因此,您可以提供以下内容值:
0;url=http://www.google.com" http-equiv="refresh
要获得这样的元重定向:
我已经向插件开发者报告了这个问题。