а-ля iframe src=file:///etc/passwd, потом из этой htmlки генерится PDF на сервере и отдается хакеру(соответственно уже с содержимым файла)
Что можно сделать в качестве защиты от такой штуки? сейчас завайтлистили определенные теги, но, как я понимаю, остается возможность эксплуатации через атрибуты. Как санитайзить атрибуты?
на сервере PHP
htmlspeacialchar по-моему называется такой фильтр под php. На Гугли точно не помню.
Это ближе к pdf lfi, pdf ssrf, etc чем к хсс Энкодить юзер инпут надо как минимум, максимум изучать какие возможности блокировок есть у фреймворка генерации пдфок
Суть вопроса все равно не изменится, будь это хоть божественной карой 😄
“фреймфорк генерации” это хедлесс хром
у тебя три варианта
А как же "всё в строку переводить"?
Обсуждают сегодня