Se fornisco un sito web pubblico per gli utenti sul mio sito web al proprio sottodominio (ad esempio bob.myapp.com
) sotto il proprio controllo, posso consentire loro di eseguire JavaScript arbitrario senza mettere a rischio il mio server principale dell'app (ad esempio% codice%)? Gli utenti sarebbero in grado di inserire i propri file myapp.com
nella radice pubblica dei loro sottodomini.
Ho una estremamente comprensione limitata della stessa politica di origine JS, ma ritengo che diversi sottodomini contengano origini diverse. Quindi se la mia app principale ( *.js
) è protetta da XSS ecc., C'è qualcosa di specifico di cui ho bisogno di preoccuparmi dai sottodomini degli utenti di cui non dovrei preoccuparmi per nessun'altra fonte esterna?
Grazie!