Un nostro cliente ci chiede di ospitare un blob di Javascript per la sua versione personalizzata del nostro sito web. È ospitato su un sottodominio del nostro sito ( customer.example.com ), ma utilizza lo stesso dominio cookie del nostro sito principale ( example.com ).
Quali sono le implicazioni per la sicurezza di questo, dovremmo essere d'accordo?
Direi che le implicazioni sono le stesse di qualsiasi vulnerabilità XSS . Quello che stai facendo in pratica è permettere loro di inserire javascript di loro scelta nella tua applicazione senza farli saltare attraverso i cerchi per trovare una vulnerabilità XSS.
Due grandi rischi che vengono in mente sono l'esecuzione di azioni per conto dell'utente senza il loro ok e il furto di cookie di sessione se non sono solo HTTP.
Se acconsenti, lo farei solo a condizione che tu debba rivedere e approvare tutto il javascript.
Leggi altre domande sui tag javascript third-party