Sto creando un piccolo parco giochi per le persone per scrivere e testare il loro JavaScript sul mio sito web. So che esistono già siti web come jsfiddle ma è solo per divertimento e per provare qualcosa di nuovo.
Ora so che le persone possono hackerare il mio sito in modo piuttosto brutto con XSS e altre cose quindi ho trovato alcuni modi per prevenire il caos:
-
Come al solito, le persone scrivono il loro JavaScript e HTML in una forma. È puro testo. Niente di funzionale.
-
Quando vuoi testare il codice, i dati vengono inviati da www.A.com a www.B.com
-
Su quel dominio, i dati vengono scritti su un iframe con la funzione sandbox senza l'opzione "allow-top-navigation".
-
L'iframe viene quindi rispedito a www.A.com
-
www.A.com riceve iframe e lo aggiunge come un figlio nel DOM.
-
L'utente vede l'iframe e può interagire con esso.
È abbastanza sicuro? o mi manca qualcosa di cruciale?