Proteggi il sito web dagli attacchi con iframe per javascript generato dall'utente?

1

Sto creando un piccolo parco giochi per le persone per scrivere e testare il loro JavaScript sul mio sito web. So che esistono già siti web come jsfiddle ma è solo per divertimento e per provare qualcosa di nuovo.

Ora so che le persone possono hackerare il mio sito in modo piuttosto brutto con XSS e altre cose quindi ho trovato alcuni modi per prevenire il caos:

  1. Come al solito, le persone scrivono il loro JavaScript e HTML in una forma. È puro testo. Niente di funzionale.

  2. Quando vuoi testare il codice, i dati vengono inviati da www.A.com a www.B.com

  3. Su quel dominio, i dati vengono scritti su un iframe con la funzione sandbox senza l'opzione "allow-top-navigation".

  4. L'iframe viene quindi rispedito a www.A.com

  5. www.A.com riceve iframe e lo aggiunge come un figlio nel DOM.

  6. L'utente vede l'iframe e può interagire con esso.

È abbastanza sicuro? o mi manca qualcosa di cruciale?

    
posta Asperger 30.07.2018 - 01:02
fonte

0 risposte

Leggi altre domande sui tag