textareaはCodeMirrorを使ってiframe - securityの内容を設定します

Question

私はCodeMirrorを使用してJSFiddleに似たプロジェクトを作成しています。 CodeMirrorからthis example fileを参照すると、私はテキストエリア（外部のJavaScriptファイルのスクリプトタグを含む）から完全なHTMLコンテンツをレンダリングしています。

ローカルにはうまくいきますが、デプロイする前に、完全なHTMLページをユーザー定義の入力からレンダリングするセキュリティ上の脅威はありませんか？上記の例はセキュリティの脅威ではありませんか？

Answer 1

アプリケーションドメイン内でユーザー定義の入力を実行するとセキュリティ上の問題が発生する可能性があります。

たとえば、 1）JS Binは別のドメインでユーザーコードを実行します。 与えられたコードはそれを明確にします。 alert(document.URL) https://jsbin.com/xezusur/edit?html,js,output

2）であっても、JSフィドルは異なるURL https://jsfiddle.net/djadmin/zrks3reg/

あなたは上記の例の両方において、ユーザコードが別のドメインで実行されて見ることができるようにiframe内のコードを実行します。したがって、同じ発信元ポリシーのために、ユーザーの入力が異なるドメインのリソースにアクセスすることを防ぎます。