XSS и метатеги

Question

Мы рассматриваем возможность предоставления нашим клиентам возможности редактировать метаданные для страниц вне CMS. Плагин позволяет клиенту вставлять метатеги в заголовки страниц и определять их собственные атрибуты имени и контента.

<meta name="my_name" content="my_content"> 

Это безопасно? Являются ли их любые атаки XSS, которые могут воспользоваться этим?

Приветствия ребята н галлоны

Answer 1

Я обнаружил, что плагин не HTML-управляющие входные значения пользователя. Таким образом, вы можете указать значение содержимого:

0;url=http://www.google.com" http-equiv="refresh 

Чтобы получить мета перенаправление, как это:

Я сообщил о проблеме разработчиков плагинов.