XSS 및 메타 태그

Question

우리는 고객이 CMS 외부의 페이지에 대한 메타 데이터를 편집 할 수 있도록 지원하고 있습니다. 플러그인을 사용하면 고객이 메타 태그를 페이지 헤드에 삽입하고 고유 한 이름 및 내용 속성을 정의 할 수 있습니다.

<meta name="my_name" content="my_content"> 

안전한가요? 이것을 이용할 수있는 XSS 공격이 있습니까?

건배들 N 여자들은

Answer 1

나는 플러그인의 HTML 이스케이프하지 않는 사용자 입력 값을 발견했습니다. 메타은 다음과 같이 재 얻으려면

0;url=http://www.google.com" http-equiv="refresh 

: 그래서 당신의 콘텐츠 가치를 제공 할 수

나는 플러그인 개발자에게 문제를보고했습니다.