Che tipo di attacco viene impedito eseguendo il codice inviato dall'utente in un web worker Javascript? Impediscono attacchi come XSS o è meglio utilizzare un altro metodo di sandboxing per proteggersi dalla maggior parte delle vulnerabilità?
Che tipo di attacco viene impedito eseguendo il codice inviato dall'utente in un web worker Javascript? Impediscono attacchi come XSS o è meglio utilizzare un altro metodo di sandboxing per proteggersi dalla maggior parte delle vulnerabilità?
Sembra che i Web Worker non siano una funzionalità di sicurezza, ma semplicemente un modo per eseguire thread in background sul lato client dell'applicazione web. Ciò significa che non ti proteggono da eventuali attacchi esistenti, ma possono invece introdurre nuovi vettori di attacco: (
Di interesse a questo riguardo potrebbe essere la comunicazione tra i lavoratori e il thread principale: stanno riutilizzando l'interfaccia postMessage che era originariamente usata per comunicare tra diversi frame. Utilizzando la stessa interfaccia, aggiunge anche gli stessi problemi di sicurezza . Ciò significa che è necessario verificare l'origine di un messaggio ricevuto nel gestore di eventi del messaggio. Il codice di esempio che troverai per i web worker di solito non lo fa.
Leggi altre domande sui tag javascript sandbox xss