私はウェブアプリケーションを構築しています&私は自分のプロフィールページにJavaScriptを埋め込むことができます。今、私はこれが巨大なセキュリティ問題を開くことを知っています(xss &中間攻撃の人)。私はこの機能を許可したいが、私はそれをしっかりやりたい。誰かがこれを達成するための凝縮された情報を私に指摘できますか?私はいくつかのGoogle検索を行ってきたが、全面的にそれを行った。ユーザーが安全に自分のプロフィールにJavaScriptを埋め込むことができるようにする必要性
0
A
答えて
1
まず、すべてをiframe内に埋め込む必要があります。最高のサブドメイン(またはより良い別のドメイン)になるので、同じ起源(あなたはユーザーのクッキーや他のクライアント側のストレージを格納)にアクセスすることはできません
しかし、あなたは同じ原点を使用して待つことができますあなたが確実ならば、それはに
設定し、あなたのクッキーをサポートしています場合は、知っていれば(ドメイン)が正しく、サンドボックスの属性を使用して、http-だけなので...
第二にそれらへのアクセスを得ることができない私はあなたが読むことをお勧めのjavascript sandboxed属性の詳細スクリプトが行うことができるものとできないものを制限する
これらのすべてをトップにするには、content security policyを見て、
関連する問題
- 1. ユーザーが自分の「プロフィール」にHTMLを書き込めるようにするには、他のユーザーが安全に使用できるようにするために、どの要素を許可/拒否する必要がありますか?
- 2. ユーザーが自分のコンテンツを自分のサイトに埋め込むことを許可する - レール4(フォローアップ)
- 3. どのように私は自分のサイトにOutlook Web Appを埋め込むことができますか?
- 4. VBA WordをExcelに埋め込む - 埋め込みしようとするとWordが埋め込まれる
- 5. フレックス:プロジェクトアセットと対話できるように埋め込みSWFが必要
- 6. PDFを埋め込むことができますonmousedown Javascript Events?
- 7. 完全なGoogleフォームを自分のスタイルのWordPressウェブサイトに埋め込むことはできますか?
- 8. このスナップショットJavaScriptはどのように埋め込むことができますか?
- 9. Facebookアプリを自分のウェブサイトに埋め込むことは可能ですか?
- 10. CSS/JavaScriptファイルをWebアプリケーションに埋め込む必要がありますか?
- 11. どのように私はCSSでhtmlのjavascript関数を埋め込むことができますか?
- 12. グラフをtkinterに埋め込むことができません
- 13. イオンチェックボックスにハイパーリンクを埋め込むことができません
- 14. タイムラインプロファイルにFlashコンテンツを埋め込むことができない
- 15. JavaScriptデータをHTMLに埋め込むことができません
- 16. トークンが必要な場所にvimeoビデオを埋め込む
- 17. javascriptをxhtml属性として埋め込むことはできますか?
- 18. タイムライン対応のプロフィールでFacebookに動画を埋め込む
- 19. PHPプログラムへのリンクをCSSファイルに埋め込むのは安全ですか?
- 20. Wordpressに埋め込みMailchimpフォームに必要なフィールドが必要
- 21. Jquery/JavaScriptを埋め込むときにPHPエラーが発生する
- 22. ハスケルでは、フリーモナドを別のものにどのように埋め込むことができますか?
- 23. 自分のCSSを使って自分のウェブサイトにウェブサイトを埋め込む?
- 24. どのようにC#でWindowsフォーム内にExcelファイルを埋め込むことができますか?
- 25. ユーザーが自分のPHPを自分のサーバーに追加できるようにする安全な方法はありますか?
- 26. 自分のサイトにYouTubeチャンネルを埋め込む方法
- 27. Facebookに自分のビデオプレーヤーを埋め込む方法は?
- 28. ブロガーに自分のフォントを埋め込む方法は?
- 29. Vsを埋め込むMongoDBにリンクする。埋め込むときとリンクするとき?
スニペットでStackoverflowがどのようなものかを調べてみてください... – epascarello