Quali sono le misure di sicurezza adottate sui siti Web che consentono la creazione di script online come jsfiddle e codepen?

6

Come richiesto nel titolo, mi sono chiesto questo per un po '. Questi siti consentono all'utente di scrivere script e memorizzarli. Non sono vulnerabili ad attacchi come scripting cross-site o altri attacchi simili? In tal caso, come proteggono se stessi e i loro clienti.

Ad esempio, qualcuno scrive un codice dannoso e condivide il codice con altri che si presentano come qualcuno che ha bisogno di aiuto. Ora, i membri dello stack eseguiranno ovviamente il codice per verificare qual è il problema. Non è questo il fatto di giocare direttamente nelle mani dell'attaccante?

    
posta Digvijayad 09.11.2017 - 02:26
fonte

1 risposta

3

Quello di cui devi preoccuparti qui è XSS. Lo scripting in generale non è (dovrebbe essere) pericoloso, dal momento che il browser limita ciò che un hacker può fare comunque. Almeno non puoi fare nulla su JSFiddle che non puoi fare su nessuna altra pagina web.

Ma per quanto riguarda l'XSS? Se guardi la fonte di JSFiddle, troverai questo:

<iframe sandbox="allow-forms allow-scripts allow-same-origin allow-modals allow-popups" allowfullscreen="" name="result" frameborder="0">

Quindi l'area in cui viene eseguito il codice è contenuta in un iframe. L'URL di quella pagina è https://fiddle.jshell.net/_display/ . Poiché si trova in un dominio diverso da JSFiddle stesso, non può accedere a nessuno dei cookie JSFiddle. Quindi quel dominio non ha senso per XSS, perché non contiene nulla di valore. È solo una pagina che restituisce tutti gli script che la POST ad essa.

    
risposta data 09.11.2017 - 08:02
fonte

Leggi altre domande sui tag