Inserimento utente sandboxing html

Naviga le tue risposte
2

Voglio rendere l'HTML caricato dall'utente (composto probabilmente da molti file con immagini, css personalizzati, js personalizzati, tutti caricati in un file zip) a scopo di anteprima. L'utente che invia l'html sarà l'unico ad accedervi.

Voglio che l'HTML dell'utente sia isolato dal resto del mio sito web (nessun accesso a javascript, nessuna ereditarietà di css, nessun accesso agli altri file del server).

Ho letto alcune informazioni su iframe in un'altra domanda , e sto considerando l'uso di sulla iframe inbox .

Mi chiedo se è abbastanza sicuro, o se ci sono opzioni migliori.

    
posta luxcem 29.08.2013 - 10:35
fonte

1 risposta

2

Se non ti fidi degli iframe in sandbox, puoi anche usare un hostname separato per ogni pacchetto. E.g configura host virtuale con * .previews.specialdomain.tld e mostra ogni anteprima su un diverso hostname generato automaticamente. Puoi quindi offrire il link per l'anteprima con 

<a target="_blank" ...

In questo modo, gli utenti vedranno l'anteprima come una pagina intera invece di iframe e torneranno alla tua vista originale dopo averlo chiuso (o passando alla scheda / finestra precedente).

Anche se Google è un autore convincente per il framework Caja , sembra improbabile che possano davvero impedire tutte le vulnerabilità della sicurezza e non per rompere il codice JS in alcuni casi.

    
risposta data 30.01.2014 - 17:46
fonte

Leggi altre domande sui tag

Un file .exe.part può aver causato danni? Sicurezza di RDP e sistema host infetto