Implicazioni sulla sicurezza dell'hosting di Javascript di terze parti [duplicato]

1

Un nostro cliente ci chiede di ospitare un blob di Javascript per la sua versione personalizzata del nostro sito web. È ospitato su un sottodominio del nostro sito ( customer.example.com ), ma utilizza lo stesso dominio cookie del nostro sito principale ( example.com ).

Quali sono le implicazioni per la sicurezza di questo, dovremmo essere d'accordo?

    
posta Stephen Touset 19.09.2013 - 20:10
fonte

1 risposta

1

Direi che le implicazioni sono le stesse di qualsiasi vulnerabilità XSS . Quello che stai facendo in pratica è permettere loro di inserire javascript di loro scelta nella tua applicazione senza farli saltare attraverso i cerchi per trovare una vulnerabilità XSS.

Due grandi rischi che vengono in mente sono l'esecuzione di azioni per conto dell'utente senza il loro ok e il furto di cookie di sessione se non sono solo HTTP.

Se acconsenti, lo farei solo a condizione che tu debba rivedere e approvare tutto il javascript.

    
risposta data 19.09.2013 - 21:19
fonte

Leggi altre domande sui tag