私はウェブアプリケーションを構築しています&私は自分のプロフィールページにJavaScriptを埋め込むことができます。今、私はこれが巨大なセキュリティ問題を開くことを知っています(xss &中間攻撃の人)。私はこの機能を許可したいが、私はそれをしっかりやりたい。誰かがこれを達成するための凝縮された情報を私に指摘できますか?私はいくつかのGoogle検索を行ってきたが、全面的にそれを行った。ユーザーが安全に自分のプロフィールにJavaScriptを埋め込むことができるようにする必要性
まず、すべてをiframe内に埋め込む必要があります。最高のサブドメイン(またはより良い別のドメイン)になるので、同じ起源(あなたはユーザーのクッキーや他のクライアント側のストレージを格納)にアクセスすることはできません
しかし、あなたは同じ原点を使用して待つことができますあなたが確実ならば、それはに
設定し、あなたのクッキーをサポートしています場合は、知っていれば(ドメイン)が正しく、サンドボックスの属性を使用して、http-だけなので...
第二にそれらへのアクセスを得ることができない私はあなたが読むことをお勧めのjavascript sandboxed属性の詳細スクリプトが行うことができるものとできないものを制限する
これらのすべてをトップにするには、content security policyを見て、
スニペットでStackoverflowがどのようなものかを調べてみてください... – epascarello