Come abilitare in sicurezza gli script ma prevenire l'XSS?

3

Stiamo cercando di trovare il modo migliore per consentire JavaScript in un'applicazione web mentre si è al sicuro contro XSS.

Gli amministratori del sito hanno il privilegio di inserire JavaScript per controllare i modelli del sito e pubblicarlo agli utenti del sito. Tuttavia, gli utenti del sito non possono inserire JavaScript.

So che consentire a JavaScript di aprire una vulnerabilità XSS, lasciando che gli amministratori del sito rubino informazioni sensibili agli utenti del sito. C'è un modo migliore per consentire JavaScript per gli amministratori del sito?

    
posta App Sec Geek 06.11.2018 - 01:01
fonte

1 risposta

0

Puoi eseguirli in una iframe di più domini oppure utilizzare qualcosa come Google Caja per isolarli.

    
risposta data 06.11.2018 - 01:48
fonte