Best practice per l'integrazione di javascript esterni?

Question

Best practice per l'integrazione di javascript esterni?

#1 da (5 voti)
#2 da (4 voti)

8

Sto cercando alcuni consigli standard su come integrare JavaScript esterno in un sito web. Ad esempio, in mywebsite.com :

<script src='//externalsite.com/js/script.js'></script>

Il fatto è che se externalsite.com viene violato, mywebsite.com è a rischio. E questo JavaScript non richiede l'accesso al contenuto di mywebsite.com (è ad esempio una chat).

Quale sarebbe il modo giusto per farlo? IFrame è la strada da percorrere?

Per chiarire, il JS è un assistente virtuale che "chiacchiera" con il visitatore. L'externalsite sta gestendo il codice JS e, cosa più importante, i dialoghi. Sono appassionato di XSS nelle finestre di dialogo.

javascript xss same-origin-policy

posta Choumarin 28.05.2013 - 17:56

fonte

2 risposte

Leggi altre domande sui tag javascript xss same-origin-policy

L'algoritmo crittografico a cascata è migliore rispetto all'utilizzo di uno solo? Codice malware aggiunto quando il sito è stato visualizzato esternamente

score 5 · Answer 1

Una catena è strong quanto il suo anello più debole.

Quindi assicurati di avere fiducia nella tua Content Delivery Network (CDN). Garantisco per un hacker è più difficile penetrare nei server di Google rispetto ai tuoi. Cloudflare è un altro esempio di un CDN orientato alla sicurezza.

Contenuti misti e Sicurezza dei livelli di trasporto insufficienti possono compromettere gli account. La trasmissione di qualsiasi pagina o script su testo in chiaro può portare a un compromesso. Un tag sorgente sicuro sarebbe src=https:// , nient'altro dovrebbe mai essere consentito.

score 4 · Answer 2

Il modo migliore per avvicinarsi a questo è ottenere una copia del codice JavaScript dalla parte terza e quindi ospitarla localmente sul tuo sito. In questo modo non corri il rischio di un compromesso della terza parte che ti riguarda direttamente (anche se potrebbe ancora dipendere da ciò che il JavaScript potrebbe pensare).

In caso contrario, penso che dovresti controllare / revisionare la sicurezza dei sistemi di terze parti per garantire che il livello di sicurezza sia uguale o superiore al sistema che sta facendo uso di JavaScript.