Il mio team sta creando un video player basato su Javascript per la nostra piattaforma, invece di fare affidamento su altre opzioni già disponibili come video.js
.
Mi sto chiedendo quali vettori di attacco dovrei prendere in considerazione, tenendo presente che non stiamo ospitando alcun sito web, semplicemente distribuiamo il codice Javascript ai nostri clienti e sono loro che ospitano il codice nel loro sito web.
In altre parole, il flusso di lavoro è più o meno simile: un client si connette al sito del cliente per riprodurre un video, i nostri clienti scaricano dal nostro server l'ultima versione del lettore, il nostro cliente visualizza il video nel suo sito.
Quindi non abbiamo alcun input, quindi suppongo che XSS non sarebbe possibile (potrei sbagliarmi). Quali altri attacchi dovrei prendere in considerazione?